Уязвимость в GnuTLS позволяет осуществлять MitM-атаки

Ср 10 Июнь 2020 12:08

В версии библиотеки GnuTLS 3.6.4, предназначенной для предоставления приложениям API для обеспечения надежной связи по протоколам транспортного уровня, обнаружена уязвимость ( CVE-2020-13777 ). Ее эксплуатация позволяет злоумышленнику возобновить ранее прекращенный сеанс TLS без сессионного ключа, а также осуществить MitM-атаку.

Проблема связана с некорректным построением сессионного ticket-ключа. TLS-сервер не осуществляет привязку сессионного ключа шифрования с переданным от приложения значением. До первой ротации ключа TLS-сервер при формировании сессионных ключей продолжает использовать некорректные данные вместо ключа шифрования от приложения. Это позволяет злоумышленнику обойти аутентификацию в TLS 1.3 и возобновить предыдущие сеансы в режиме TLS 1.2.

Данная уязвимость была устранена в версии GnuTLS 3.6.14. Проблема была исправлена в дистрибутивах Debian, SUSE, FreeBSD, Fedora, Ubuntu, EPEL и RHEL 8.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 252 дня 16 часов 50 минут 8 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.