Taso 9 = Akuuttia

Seuraamiamme SSL-haavoittuvuuksia

Murrettu_lukko_1Päivitämme tähän artikkeliin tietoomme tulleita haavoittuvuuksia, joilla mielestämme voi olla vaikutusta suomalaisten organisaatioiden SSL-varmenteiden hyödyntämiseen.

Seuraavien vaikutusta on vielä vaikea arvioida asiakkaillemme:

16.8.2016 / Viestintävirasto: Haavoittuvuus WebKit-pohjaisissa sovelluksissa
(Artikkeli toteaa, että saattaa vaikuttaa esim. Operaan, Safariin ja Chromeen – toimittajat eivät kuitenkaan ole 1,5 kuukauden aikana ainakaan raportoineet päivitystarpeita)

Tiedossa ei ole, että nämä olisivat aiheuttaneet ongelmia asiakkaillemme:

2.8.2016 / NCSC-FI: Intel CrossWalk project does not validate SSL certificates after first acceptance

4.7.2016 / Security Tracker: HPE Service Manager: A remote user may be able to decrypt TLS connections in certain situations.

Seuraavien vaikutusta on vielä vaikea arvioida asiakkaillemme:

16.8.2016 / Viestintävirasto: Haavoittuvuus WebKit-pohjaisissa sovelluksissa

https://www.viestintavirasto.fi/2016/haavoittuvuus-2016-109

 

WebKit-pohjaisista sovelluksista on löytynyt välimieshyökkäyksen mahdollistava haavoittuvuus.

Välityspalvelinta käytettäessä asiakasohjelmistot tekevät selväkielisen HTTP CONNECT -kyselyn, kun asiakasohjelmisto on muodostamassa salattua HTTPS-yhteyttä. Hyökkääjän, joka pystyy manipuloimaan välityspalvelimen vastauksia, on mahdollista suorittaa välimiesmyökkäys, jota WebKit-pohjaisia sovelluksia käyttävät asiakasohjelmistot eivät havaitse. Tämän seurauksena selain näyttää SSL/TLS-yhteyden merkiksi lukkokuvakkeen osoiterivillä, vaikka salattua yhteyttä ei ole muodostunut.

Wesentran kommentteja 16.8.2016 / 17:15:

  • Tivin artikkelissa 16.8.2016 todetaan ”Kyberturvallisuuskeskus rauhoittelee kertomalla, että hyökkäyksen toteuttaminen ei ole helppoa, sillä hyökkääjän pitää kyetä kontrolloimaan hyökkäyspalvelimen vastauksia.”
  • CERT-ilmoitussivuilla on linkki toimittajien kommentteihin, ja näissä ei näy ohjeita päivitykseen tms.

VU905344

 

Tiedossa ei ole, että nämä olisivat aiheuttaneet ongelmia asiakkaillemme:

2.8.2016 / NCSC-FI: Intel CrossWalk project does not validate SSL certificates after first acceptance

Intel CrossWalk project does not validate SSL certificates after first acceptance
https://www.kb.cert.org/vuls/id/217871
Classification: Severe, Solution: Update, Exploit: Unknown More detailed information about impact and updates at
https://blogs.intel.com/evangelists/2016/07/28/crosswalk-security-vulnerability/

 

4.7.2016 / Security Tracker: HPE Service Manager: HPE Service Manager TLS Diffie-Hellman Export Cipher Downgrade Attack Lets Remote Users Decrypt Connections

A vulnerability was reported in HPE Service Manager. A remote user may be able to decrypt TLS connections in certain situations.

Impact: Modification of authentication information

Alert: http://securitytracker.com/id/1036218

Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s