ورود کاربر

ورود

وارد اکانت خودتان بشوید

نام کاربری *
رمز عبور *


آسیب پذیری دیگری مربوط به OpenSSl كشف شده است كه به مهاجم اجازه می دهد ترافیك رمز شده SSl/TLS میان كلاینت و سرور را تغییر دهد و یا رمزگشایی نماید.

آسیب پذیری دیگری مربوط به OpenSSl كشف شده است كه به مهاجم اجازه می دهد ترافیك رمز شده SSl/TLS میان كلاینت و سرور را تغییر دهد و یا رمزگشایی نماید. به منظور اجرای حمله موفق، در صورتیكه كلاینت و سرور آسیب پذیر به این نوع از نقطه ضعف باشند، مهاجم نیازمند شنود ارتباط میان كلاینت هدف و سرور (MITM) می باشد. این آسیب پذیری با كد CVE-2014-0224 در نسخه های Openssl1.0.1 و جدیدتر و 1.0.2-beta1 شناخته شده است.

به دلیل ضعف در الگوریتم رمزنگاری Openssl و با سو استفاده از آسیب پذیری شناسایی شده در ارتباط handshake میان كلاینت و سرور و الزام آنها به استفاده از كلید رمز قابل حدس (CWE-325)، می توان حمله توقف در سرویس دهی را به دلیل امكان ارسال متناوب پیام های CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا نمود.

 

نسخه های آسیب پذیر:

·         تمامی كلاینت هایی كه از تمامی نسخه های OpenSSl استفاده می نمایند

·         آسیب پذیری مذكور در نسخه های 1.0.1 و یا جدیدتر و 1.0.2-beta1 شناسایی شده است.

·         مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه ای از مرورگرها مانند Chrome بر رویAndroid كه از OpenSSL استفاده می نمایند آسیب پذیر می باشند.

 
 
رفع آسیب پذیری:

به منظور رفع آسیب پذیری شرح داده شده در این گزارش، می بایست سریعا از به روز رسانی های ارایه شده بر روی وب سایتOpenssl استفاده نمود:

·         ارتقا به نسخه های 0.9.8za ، 1.0.0m و 1.0.1h

منبع : مرکز ماهر

اضافه کردن نظر


کد امنیتی
تازه سازی

مرکز تخصصی دیتاسنتر و شبکه ایران

این صفحه را در گوگل محبوب کنید

درباره انجمن دیتاسنتر ایران

انحمن دیتاسنتر ایران یک مرجع تخصصی برای بحث و تبادل نظر کارشناسان متخصص در زمینه طراحی مراکز داده و شبکه و قواعد امنیتی می باشد.

راه های ارتباط با انجمن

آدرس ایمیل انجمن : این آدرس ایمیل توسط spambots حفاظت می شود. برای دیدن شما نیاز به جاوا اسکریپت دارید


آدرس سایت : www.datacenterdesign.ir