Casa > cibernético Notícias > CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos
CYBER NEWS

CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos

por   |  Última atualização:  |  0 Comentários  

CVE-2020-13777 é uma vulnerabilidade no GnuTLS, um amplamente adotado, biblioteca de código aberto que implementa Transport Layer Security.

A vulnerabilidade está presente na biblioteca há quase dois anos, retomando TLS 1.3 sessões vulneráveis ​​a ataques. a vulnerabilidade, introduzido no GnuTLS 3.6.4 em setembro, 2018 foi abordado no GnuTLS 3.6.14 em Junho 3, 2020.

CVE-2020-13777 Explicado

O bug permitiu que os servidores GnuTLS utilizassem tickets de sessão emitidos durante um TLS seguro anterior 1.3 sessão, sem acessar a função que gera chaves secretas:

gnutls_session_ticket_key_generate()

Os invasores que exploram a vulnerabilidade CVE-2020-13777 podem burlar a autenticação sob TLS 1.3, recuperando assim conversas anteriores sob TLS 1.2.




De acordo com o pesquisador de segurança conhecido sob o Airtower apelido:

Os servidores GnuTLS podem usar tickets emitidos um pelo outro sem acesso à chave secreta gerada por gnutls_session_ticket_key_generate(). Isso permite que um servidor MITM sem credenciais válidas retome as sessões com um cliente que primeiro estabeleceu uma conexão inicial com um servidor com credenciais válidas. O problema se aplica ao TLS 1.3, ao usar TLS 1.2 retomada falha conforme o esperado.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/apple-microsoft-google-drop-support-tls1-0-tls1-1/”] maçã, Microsoft, e Apoio Gota Google para TLS 1.0 e TLS 1.1

O pesquisador primeironotei o problema com o Ubuntu versão 3.6.13-2ubuntu1, e reproduzi-lo com uma compilação do master a partir de 52e78f1e.”

Alguns pesquisadores de segurança têm argumentado que o GnuTLS deve ser removido como uma dependência, com muitos expressando seu desdém contra a biblioteca, como apontado por TheRegister.

O dicionário MITRE CVE fornece a seguinte descrição da vulnerabilidade:

GnuTLS 3.6.x antes 3.6.14 usa criptografia incorreta para criptografar um tíquete de sessão (perda de confidencialidade no TLS 1.2, e um desvio de autenticação no TLS 1.3). A versão afetada mais antiga é 3.6.4 (2018-09-24) por causa de um erro em um 2018-09-18 comprometer. Até a primeira rotação da tecla, o servidor TLS sempre usa dados incorretos no lugar de uma chave de criptografia derivada de um aplicativo.

Não há mitigação conhecida contra o problema, O comunicado da RedHat diz.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. maçã, Microsoft, e Apoio Gota Google para TLS 1.0 e TLS 1.1 Três das maiores empresas de tecnologia, maçã, Microsoft, e Google,...
  2. Adobe Patches 112 Vulnerabilidades no Últimas Patch Package (CVE-2018-5007) A Adobe lançou o pacote de patch mais recente que aborda um...
  3. Qual é o navegador mais seguro para 2020 - Cromada, Raposa de fogo, Beira, Safári? ATUALIZAÇÕES DE CLASSIFICAÇÃO DE SEGURANÇA DE PARTICIPAÇÃO DE MERCADO FREQUÊNCIA PLUGINS DE SEGURANÇA RECURSOS DE SEGURANÇA...
  4. Cipher Acrobacias – atacantes’ Últimas Técnica Evasion A evasão dos mecanismos de detecção usados pelas empresas de segurança sempre foi....
  5. Atualizações de segurança fora da banda para CVE-2020-17022, CVE-2020-17023 Duas atualizações de segurança fora de banda abordando as vulnerabilidades CVE-2020-17022 e CVE-2020-17023..
  6. CVE-2020-1464: A Microsoft não corrigiu o dia zero para 2 Anos A vulnerabilidade CVE-2020-1464 fazia parte do 120 falhas de segurança...
  7. CVE-2018-20250: Uma vulnerabilidade WinRAR Encontrado depois 19 Anos de Exploração Possível Uma equipe de segurança anunciou a descoberta de um ...
  8. CVE-2020-1425 e CVE-2020-1457 na Microsoft Windows Codecs Library Duas atualizações de segurança fora da banda foram lançadas pela Microsoft, abordando...

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo