Artykuły dotyczące tematu: Man in The Middle Attack

dodany: 30.07.2013 | tagi: , ,

Luka man in the middle w Ansible

4
Luka man in the middle w Ansible

W Ansible, narzędziu do automatyzacji zarządzania konfiguracją serwerów, znaleziono lukę umożliwiającą przeprowadzenie ataku man in the middle.

Problem wynika z nieprzechowywania w pamięci podręcznej informacji o kluczu publicznym serwera ssh maszyny, z którą połączono się poprzednim razem, przez co nie jest weryfikowane, czy to ten sam serwer. Atakujący może podmienić usługę ssh albo całą maszynę, co zostanie niezauważone przez Ansible.

Luka zyskała oznaczenie CVE-2013-233 i została naprawiona w Ansible 1.2.1

dodany: 27.12.2012 | tagi: , , ,

Facebook znów nie dba o bezpieczeństwo

1

Tym razem problem leży w „fejsbukowej” aplikacji Camera App, która jest przeznaczona dla urządzeń mobilnych. Podatność na atak typu „człowiek pośrodku” (Man in The Middle Attack) odkrył pracownik firmy Attak-Secure. Nazywa się on Mohamed Ramadan i wcześniej wykrył podobną usterkę w aplikacji Etsy dla iPhone’a.

Problem leży w tym, że aplikacja podczas połączenia akceptuje każdy certyfikat SSL, nie sprawdzając źródła jego wystawienia. Powoduje to, że aplikacja nie ostrzega przed tym, że ktoś będący w tej same sieci próbuje włamać się na konto użytkownika. Właśnie to pozwala na zastosowanie ataku Man in The Middle. Na pocieszenie jest fakt, iż atak ten można było przeprowadzić w niezabezpieczonych sieciach WiFi.

Facebook wie o tej możliwości i dlatego zaleca aktualizację aplikacji do najnowszej wersji 1.1.2, w której powyższy problem został wyeliminowany. Jest to kolejny błąd FB.