Casa > cibernético Notícias > CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos
CYBER NEWS

CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos

CVE-2020-13777 é uma vulnerabilidade no GnuTLS, um amplamente adotado, biblioteca de código aberto que implementa Transport Layer Security.

A vulnerabilidade está presente na biblioteca há quase dois anos, retomando TLS 1.3 sessões vulneráveis ​​a ataques. a vulnerabilidade, introduzido no GnuTLS 3.6.4 em setembro, 2018 foi abordado no GnuTLS 3.6.14 em Junho 3, 2020.

CVE-2020-13777 Explicado

O bug permitiu que os servidores GnuTLS utilizassem tickets de sessão emitidos durante um TLS seguro anterior 1.3 sessão, sem acessar a função que gera chaves secretas:

gnutls_session_ticket_key_generate()

Os invasores que exploram a vulnerabilidade CVE-2020-13777 podem burlar a autenticação sob TLS 1.3, recuperando assim conversas anteriores sob TLS 1.2.




De acordo com o pesquisador de segurança conhecido sob o Airtower apelido:

Os servidores GnuTLS podem usar tickets emitidos um pelo outro sem acesso à chave secreta gerada por gnutls_session_ticket_key_generate(). Isso permite que um servidor MITM sem credenciais válidas retome as sessões com um cliente que primeiro estabeleceu uma conexão inicial com um servidor com credenciais válidas. O problema se aplica ao TLS 1.3, ao usar TLS 1.2 retomada falha conforme o esperado.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/apple-microsoft-google-drop-support-tls1-0-tls1-1/”] maçã, Microsoft, e Apoio Gota Google para TLS 1.0 e TLS 1.1

O pesquisador primeironotei o problema com o Ubuntu versão 3.6.13-2ubuntu1, e reproduzi-lo com uma compilação do master a partir de 52e78f1e.”

Alguns pesquisadores de segurança têm argumentado que o GnuTLS deve ser removido como uma dependência, com muitos expressando seu desdém contra a biblioteca, como apontado por TheRegister.

O dicionário MITRE CVE fornece a seguinte descrição da vulnerabilidade:

GnuTLS 3.6.x antes 3.6.14 usa criptografia incorreta para criptografar um tíquete de sessão (perda de confidencialidade no TLS 1.2, e um desvio de autenticação no TLS 1.3). A versão afetada mais antiga é 3.6.4 (2018-09-24) por causa de um erro em um 2018-09-18 comprometer. Até a primeira rotação da tecla, o servidor TLS sempre usa dados incorretos no lugar de uma chave de criptografia derivada de um aplicativo.

Não há mitigação conhecida contra o problema, O comunicado da RedHat diz.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo