quinta-feira, 5 de junho de 2014

CVE-2014-0224 - Mais uma falha no OpenSSL

 

CONSIDERÇÕES INICIAIS 
Este conteúdo foi baseado no material divulgado pelo próprio Masashi Kikuchi, responsável pela identificação desta falha e está disponível na íntegra no endereço abaixo:

http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html

O QUE É A FALHA?
basicamente a falha consiste no fato de que o OpenSSL aceita um ChangeCipherSpec (CCS) inapropriado durante o início da conexão (handshake), ainda segundo o autor este Bug existe desde a primeira versão do OpenSSL.

Em um processo de handshake correto o cliente e o servidor trocam mensagens, sendo que o CCS deve ser enviado no momento correto, porém o servidor OpenSSL pode aceitar um CCS em outros momentos caso receba, desta forma um atacante pode explorar este comportamento para que possam decodificar e/ou modificar dados no canal de comunicação.

Abaixo segue um trecho extraído do site do próprio OpenSSL
 
OpenSSL Security Advisory [05 Jun 2014]
========================================

SSL/TLS MITM vulnerability (CVE-2014-0224)
===========================================

An attacker using a carefully crafted handshake can force the use of weak
keying material in OpenSSL SSL/TLS clients and servers. This can be exploited
by a Man-in-the-middle (MITM) attack where the attacker can decrypt and 
modify traffic from the attacked client and server.

The attack can only be performed between a vulnerable client *and*
server. OpenSSL clients are vulnerable in all versions of OpenSSL. Servers
are only known to be vulnerable in OpenSSL 1.0.1 and 1.0.2-beta1. Users
of OpenSSL servers earlier than 1.0.1 are advised to upgrade as a precaution.

OpenSSL 0.9.8 SSL/TLS users (client and/or server) should upgrade to 0.9.8za.
OpenSSL 1.0.0 SSL/TLS users (client and/or server) should upgrade to 1.0.0m.
OpenSSL 1.0.1 SSL/TLS users (client and/or server) should upgrade to 1.0.1h.

Thanks to KIKUCHI Masashi (Lepidum Co. Ltd.) for discovering and
researching this issue.  This issue was reported to OpenSSL on 1st May
2014 via JPCERT/CC.

The fix was developed by Stephen Henson of the OpenSSL core team partly based 
on an original patch from KIKUCHI Masashi.
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)