Posted by MinO | 0 comments

Σοβαρό bug σε δικτυακό εξοπλισμό μπορεί να διαρρεύσει τα ιδιωτικά κλειδιά των HTTPS sites #1



Σύμφωνα με έκθεση του αναλυτή ασφαλείας της Red Hat Florian Weimer, λανθασμένη υλοποίηση ενός ευρέως
χρησιμοποιούμενου κρυπτογραφικού προτύπου από κατασκευαστές δικτυακού υλικού, μπορούν να διαρρεύσουν
τα ιδιωτικά κλειδιά διαφόρων sites που χρησιμοποιούν το ασφαλές πρωτόκολο HTTPS
.

Μετά από ενιά μήνες ελέγχου δισεκατομμυρίων HTTPS sessions, κατάφερε να "πάρει" 272 κλειδιά από τα δεδομένα τους, ενώ το μέγεθος του δείγματος είναι πολύ μικρό, και πολλοί περισσότεροι κατασκευαστές μπορεί να είναι ευάλλωτοι. Στον προβληματικό εξοπλισμό περιλαμβάνονται μηχανήματα των Citrix, Hillstone Networks, Alteon/Nortel, Viprinet, QNO, ZyXEL, BEJY και Fortinet.


Πατήστε στην εικόνα για να τη δείτε σε μεγέθυνση. 

Όνομα:  crawler-results.png 
Εμφανίσεις:  101 
Μέγεθος:  92,9 KB 
ID: 160567

Το πρόβλημα εντοπίζεται στην ανασφαλή υλοποίηση του RSA public key cryptosystem, για το οποίο υπάρχει paper από το 1996, που προειδοποιεί για πιθανά σφάλματα και διαρροή δεδομένων από τα οποία μπορεί να ανακτηθούν τα ιδιωτικά κλειδιά των websites.

[via]

0 comments: