You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1602

[Generic/TLS] Entwurfsschwachstelle in TLS (SSL)
(2009-11-05 17:31:53.960842+00) Druckversion


Ein Entwurfsfehler im Transaction Layer Security Protokoll (schließt auch SSL ein) kann von einem Angreifer dazu ausgenutzt werden, im Rahmen eines sogenannten Man in the Middle Angriffs Daten in einen kryptographisch abgesicherten Datenstrom einzuschießen und so z.B. unautorisiert Daten an einen Server oder vermeintlich von einem vertauenswürdigen Server stammende Daten an einen Klienten senden. Die Schwachstelle lässt sich auf mehrere Arten ausnutzen und betrifft alle Applikationen und Protokolle, die zur Absicherung ihrer Kommunikation TLS bzw. SSL verwenden.

Inhalt

Zusammenfassung

  • CVE-2009-3555:
    Betroffen: TLS
    Plattform: alle (generic)
    Einfallstor: TLS renegotiation
    Angriffsvoraussetzung:Netzwerk
    Angriffsvektorklasse: remote
    Auswirkung: Einschleusen von Daten
    Typ: Entwurfsfehler
    Gefahrenpotential: Je nach Anwendung: mittel bis sehr hoch
    Workaround: nein
    Gegenmaßnahmen: neue Version bzw. Patch
    Vulnerability ID: CVE-2009-3555

Betroffene Systeme

  • Alle Systeme und Protokolle, die das TLS-Protokoll (sowie der Vorgänger SSL bis einschließlich Version 3.1) implementieren (generic).
    Dies schließt ein: Diese Aufzählung ist nicht vollständig.

Plattform

  • keine Einschränkung (generic)

Einfallstor

Angriffsvoraussetzung

  • Zugriff auf ein Netzwerk, über das ein TLS-Client mit einem TLS-Server spricht, idealerweise mit der Möglichkeit, als Proxy zu fungieren.
    (network)
  • Benutzerinteraktion - Ein TLS-Client muss eine TLS-Verbindung aufbauen (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (network)

Auswirkung

  • Einschleusen unauthentisierter Daten in den TLS-Datenstrom

Typ der Verwundbarkeit

  • Entwurfsfehler
    (design flaw)

Gefahrenpotential

    Je nach Anwendung kann das Gefahrenpotential schwanken:
  • mittel bis sehr hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Das hybride Verschlüsselungsprotokoll TLS (Transaction Layer Security) bzw. sein Vorgänger SSL (Secure Socket Layer) besitzt eine Entwurfsschwachstelle, die es einem Angreifer, der in der Lage ist, den Datenfluss zwischen einem TLS-Client und einem TLS-Server zu kontrollieren (also im wesentlichen, als sog. Proxy zwischen den beiden agieren zu können), zu manipulieren und unautentisiert Daten an den Server zu schicken, die dieser als vom Client gesendete Daten akzeptiert.

Gegenmaßnahmen

  • Installation entsprechender Herstellerpatches. Eine Übersicht findet sich hier.

Vulnerability ID

Weitere Information zu diesem Thema

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.