Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Mbed TLS-n

Argitalpen data: 2018/07/27

Garrantzia: Handia

Kaltetutako baliabideak:

Mbed TLS, 1.2 eta goragoko bertsioak eta 2.1, 2.7 eta goragokoak.

Azalpena:

Mbed TLSk hainbat ahultasunen berri eman du. Horiek baliatuz erasotzaile batek testu laua berreskura lezake, urrunetik CBCn oinarritutako zifratu bat erabiltzen denean.

Konponbidea:

2.12.0, 2.7.5 edo 2.1.14 edo berriagoetara eguneratzea aholkatzen da.

Xehetasuna:

CBCn oinarritutako zifratu bat erabiltzen denean, posible da urruneko erasotzaile batek partzialki berreskuratzea formaturik gabeko testua. Horretarako erasotzaileak sareko trafikoa harrapatu eta injektatzeko gaitasuna izan behar du, eta TLS erabiltzekotan testu berdinarekin hainbat saio hasteko gai izan. DTLSren kasuan, aldiz, saio batekin aski litzateke.

Posible da tenporizazioaren edo cachearen alboko kanalak erabiltzen dituzten mezuetatik formaturik gabeko testua partzialki eskuratzea. Ahultasun horietarako CVE-2018-0497 eta CVE-2018-0498 identifikatzaileak erabili dira.

Etiketak: Eguneraketa, Komunikazioak, Ahultasuna