[KDE/Konqueror] Fehlende Zertifikatverwaltung
(2001-07-10 14:58:35+00)
Konqueror enthält keine Zertifikatverwaltung und kann daher nicht erkennen, ob eine Verbindung zu einem HTTPS-Server durch einen Angreifer umgeleitet wurde.
Betroffene Systeme
- Konqueror in KDE 2.1.2 (und früheren Versionen).
- Andere Programme, die die HTTPS-Funktionen von KDE verwenden.
- KDE 2.2 wird vermutlich ebenfalls betroffen sein.
Einfallstor
Aktive Manipulation des Netzverkehrs (erfolgreiches DNS spoofing ist ausreichend).
Auswirkung
Das Abhören und die Manipulation der über eine SSL-Verbindung übertragenen Daten wird möglich, unabhängig vom verwendeten Verschlüsselungsverfahren.
Typ der Verwundbarkeit
design flaw (fehlerhafte Anwendung von public key-Kryptographie).
Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Konqueror überprüft beim Kontakt zu HTTPS-Servern nicht, ob sich ein Vertrauenspfad zum vom Server vorgelegten öffentlichen Schlüssel aufbauen läßt. Deshalb kann ein Angreifer entweder durch DNS spoofing oder durch aktive Manipulation der Verbindung des Transportweges dem Client einen öffentlichen Schlüssel präsentieren, den der Angreifer selbst generiert hat, wodurch er auch über den geheimen Teil des Schlüssels verfügt. Wegen der fehlenden Zertifikatverwaltung hat der Client keine Möglichkeit festzustellen, daß er nicht den öffentlichen Schlüssel des Servers erhalten hat, sondern den eines Angreifers. Im folgenden kann der Angreifer seinerseits eine Verbindung zum betreffenden HTTPS-Server aufbauen und die Daten geeignet hin- und herverschlüsseln, so daß dem Client und dem Anwender nicht auffällt, daß die Verbindung abgehorcht wird. Der Angreifer kann ebenso die Daten verändern, bevor er sie zum Client oder zum Server schickt.
Für derartige Angriffe existieren bereits geeignete Werkzeuge, so daß es sich hierbei mitnichten um ein rein theoretisches Problem sondern um eine reale Bedrohung handelt.
Gegenmaßnahmen
- Verwendung eines anderen Web-Browsers für kritische Daten.
- Zusammenfassung der Diskussion auf der Entwicklermailingliste.
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=408