Artykuły dotyczące tematu: man in the middle

dodany: 28.06.2013 | tagi: , , , , ,

Aktualizacja Ruby naprawia lukę MitM w obsłudze SSL

0

Implementacja OpenSSL w Ruby okazała się niebezpieczna. Dzięki znalezionej luce możliwe jest ominięcie sprawdzania hostname. Jeżeli w alternatywej nazwie X509 certyfikatu (thesubjectAltName) znajduje się znak pusty, przykładowo “ruby-lang.org\0example.com”, Ruby zinterpretuje to jako “ruby-lang.org”.

Luka zyskała oznaczenie CVE-2013-4073. Zalecana jest aktualizacja do najnowszych wersji poszczególnych gałęzi, tj. 1.8.7p374 (które naprawia także lukę DoS w REXML), 1.9.3p448 oraz 2.0.0p247.

dodany: 20.05.2013 | tagi: , ,

Atak MitM w instalatorze binarnych pakietów w Gentoo

1

Na liście dyskusyjnej oss-sec ukazało się zgłoszenie o nadanie sygnatury luce w instalatorze binarnych pakietów w Gentoo, dystrybucji Linuksa której założeniami są konfigurowalność, przenośność i optymalizacja kompilowanego kodu pod sprzęt użytkownika.

Zazwyczaj użytkownicy jedynie kompilują kod źródłowy, ale istnieje również możliwość instalacji gotowych pakietów. Właśnie w tej części menedżera pakietów o nazwie Portage znaleziono błąd, umożliwiający dokonanie ataku Man in the Middle.

Luka wynika z kilku przyczyn. Jedną z nich jest możliwość pobrania listy dostępnych pakietów z zewnętrznego serwera, który może wskazywać na serwer atakującego. Lista ta jest pobierana w tle, a żadna informacja nie jest zwracana użytkownikowi. Ponadto Portage nie weryfikuje certyfikatu SSL serwera, a sam menedżer w większości przypadków uruchamiany jest z konta administratora.

Problem został zgłoszony autorom i naprawiony. Użytkownicy powinni jak najszybciej zaktualizować swoje systemy.