Haavoittuvuus TLS-protokollassa

26.09.2012

TLS on protokolla käyttäjän ja palvelun väliseen liikenteen salaamiseen. Salauksella voidaan suojata esimerkiksi verkkokauppa- ja -pankkiasiointia tai selainpohjaisen sähköpostin käyttöä. Jos liikennöinnissä käytetään kompressiota, vuotaa tiedon pakkauksen sivuvaikutuksena tietoa salattujen https-pyyntöjen sisällöstä. Ujuttamalla käyttäjän selaamille http-sivustoille tietyllä tavalla muotoiltua sisältöä, on hyökkääjän mahdollista saada selville https-istuntoon liittyvä sessioeväste. Evästettä käyttämällä hyökkääjä voi kaapata käyttäjän istunnon.

HAAVOITTUVAT OHJELMISTOT:

  • TLS 1.2- ja aiemmat versiot
  • Chrome ennen versiota 21.0.1180.89
  • Firefox ennen versiota 15.0.1
  • GnuTLS (TLS-kompressio ei ole oletuksena päällä)
  • Apache 2.x -sarja (ModSSL)

    Microsoft Internet Explorer-, Opera- ja Safari-selaimet sekä Microsoft IIS-palvelimet eivät ole haavoittuvia.

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Päivitä selaimet uusimpiin versioihin esimerkiksi automaattisella päivitystyökalulla. Www-palveluista on suositeltavaa ottaa TLS-kompressiotuki pois käytöstä.

LISÄTIETOA:

Lähde: cert.fi