SSL e recenti bug

**Uno** · 09-12-2009, 13:48

Nessuno se ne è accorto o fate gli gnorri sperando che non se ne accorga troppa gente?

Non ho sotto mano adesso l'articolo (appena ho tempo lo cerco) ma se non ricordo male ad un abbastanza recente convegno sulla sicurezza qualcuno ha dimostrato in diretta che è possibile bucare una comunicazione ssl con qualsiasi cifratura.
Stanno lavorando per metterci una toppa, non è un caso che potrebbe affliggere ogni comunicazione ssl ma comunque esiste il problema per quanto possa essere remoto.
Suppongo che le comunicazioni più a rischio siano quelle che passano per reti aziendali ma non ho dati in mano.
Appena posso guardo l'articolo e i riferimenti, in ogni caso datemi i vostri numeri di carta di credito direttamente, non fatemi fare fatica.... è quasi Natale siate buoni

**ale** · 09-12-2009, 14:40

Credo che tu stia parlando di http://security.freebsd.org/advisori...-09:15.ssl.asc, vero? Per questo hanno rilasciato recentemente openssl 0.9.8l

**cxcs** · 09-12-2009, 14:41

Prima dei numeri delle carte vogliamo l'articolo

**Uno** · 09-12-2009, 15:15

Stasera a casa vedo l'articolo, ma da breve ricerca potrebbe essere questo il discorso Moxie Marlinspike >> software >> sslstrip
Non ho seguito se sia stato pachato ssl, (non lo sto usando in questo momento

) però mi pareva che ci fossero dei problemi abbastanza grossi per creare una patch

**ale** · 09-12-2009, 16:14

Penso che 0.9.8l non risolve proprio il problema stesso ma ha solo disabilitato la renegotiation della sessione. Quindi sarebbe più un workaround che un patch proprio.

**Derevko** · 09-12-2009, 19:25

Originariamente Scritto da Uno

Stasera a casa vedo l'articolo, ma da breve ricerca potrebbe essere questo il discorso Moxie Marlinspike >> software >> sslstrip

Non c'entra nulla. Quell'attacco parte con un Arp poisoning e poi sslstrip fa il resto (ha scoperto un po' l'acqua calda)

Credo invece che tu ti riferisca a CVE-2009-3555. Disabilitare la renegotiation non è sempre possibile, nel senso che causa problemi in certe applicazioni (apache compreso con configurazioni complesse.)

Proprio per questo, i principali vendors sono orientati ad aspettare un fix a livello protocollo.

**Uno** · 09-12-2009, 19:44

https://www.kb.cert.org/vuls/id/120541 questo era.
E qui ci sono degli aggiornamenti [TLS] MITM attack on delayed TLS-client auth through renegotiation

Mi pare di capire (correggetemi se sbaglio, lo avevo intravisto questo articolo e adesso ho leggiucchiato per dare info a voi) che il problema si presenta soprattutto (solo?) con clienti microsoft.
Mi pare che sia ancora aperto anche se non dovrebbe essere una situazione tanto frequente ma piuttosto rara.

**Derevko** · 09-12-2009, 20:19

Originariamente Scritto da Uno

Mi pare di capire (correggetemi se sbaglio, lo avevo intravisto questo articolo e adesso ho leggiucchiato per dare info a voi) che il problema si presenta soprattutto (solo?) con clienti microsoft.

No, IIS è affetto allo stesso modo, non di più, non di meno.