Haavoittuvuus3/2019
TLS 1.2 -salausprotokollasta on löytynyt haavoittuvuus, joka mahdollistaa salatun liikenteen osittaisen purkamisen osassa TLS 1.2 -yhteyksissä, mikäli hyökkääjä pystyy muokkaamaan verkkoliikennettä. Hyökkääjä pystyy onnistuessaan purkamaan salatusta yhteydestä yhden tavun kerrallaan. Haavoittuvuudelle on annetut nimet Zombie POODLE ja GOLDENDOODLE.
TLS-protokollan yleisimmät käyttökohteet ovat suojattu verkkoselailu HTTPS-protokollalla, sekä sähköpostiyhteyden salaaminen. Valtaosa selaimista ja palvelimista tukee TLS-protokollan eri versioita (TLS 1.1, 1.2 ja 1.3). Vanhempi SSL 3.0 -protokolla on myös tuettu osassa selaimissa ja palvelimissa ja sitä käytetään mikäli yhteyttä ei saada muodostettua TLS-protokollalla.
Löydetyn hoittuvuuden hyväksikäyttö on mahdollista, jos hyökkääjä pystyy kaappaamaan ja muokkaamaan verkkoliikennettä käyttäjän ja palvelimen välillä (man in the middle) ja lisäämään tavuja tiettyyn kohtaan liikennettä, kun käytetään TLS 1.2 -salausta CBC -tilassa (cipher-block chaining). Hyökkääjä pystyy onnistuessaan purkamaan salatusta yhteydestä yhden tavun kerrallaan.
Lisätietoja haavoittuvuudesta löytyy haavoittuvuuden löytäneiden tutkijoiden blogista (Ulkoinen linkki)
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
- Ei päivitystä
Haavoittuvuuden kohde
- Tarkista, onko oma ohjelmistosi altis haavoittuvuudelle valmistajan omilta sivuilta
- https://support.citrix.com/article/CTX240139 (Ulkoinen linkki)
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-6485 (Ulkoinen linkki)
- https://www.tripwire.com/state-of-security/vulnerability-management/zombie-poodle-goldendoodle/ (Ulkoinen linkki)
- https://www.openssl.org/news/openssl-1.0.2-notes.html (Ulkoinen linkki)
- https://www.openssl.org/news/openssl-1.1.1-notes.html (Ulkoinen linkki)
Mistä on kysymys?
- Päivitä laitteen ohjelmisto, kun korjaus tulee saataville.