Casa > cibernético Notícias > CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos
CYBER NEWS

CVE-2020-13777: Vulnerabilidade no GnuTLS Hiding for 2 Anos

CVE-2020-13777 é uma vulnerabilidade no GnuTLS, um amplamente adotado, biblioteca de código aberto que implementa Transport Layer Security.

A vulnerabilidade está presente na biblioteca há quase dois anos, retomando TLS 1.3 sessões vulneráveis ​​a ataques. a vulnerabilidade, introduzido no GnuTLS 3.6.4 em setembro, 2018 foi abordado no GnuTLS 3.6.14 em Junho 3, 2020.

CVE-2020-13777 Explicado

O bug permitiu que os servidores GnuTLS utilizassem tickets de sessão emitidos durante um TLS seguro anterior 1.3 sessão, sem acessar a função que gera chaves secretas:

gnutls_session_ticket_key_generate()

Os invasores que exploram a vulnerabilidade CVE-2020-13777 podem burlar a autenticação sob TLS 1.3, recuperando assim conversas anteriores sob TLS 1.2.




De acordo com o pesquisador de segurança conhecido sob o Airtower apelido:

Os servidores GnuTLS podem usar tickets emitidos um pelo outro sem acesso à chave secreta gerada por gnutls_session_ticket_key_generate(). Isso permite que um servidor MITM sem credenciais válidas retome as sessões com um cliente que primeiro estabeleceu uma conexão inicial com um servidor com credenciais válidas. O problema se aplica ao TLS 1.3, ao usar TLS 1.2 retomada falha conforme o esperado.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/apple-microsoft-google-drop-support-tls1-0-tls1-1/”] maçã, Microsoft, e Apoio Gota Google para TLS 1.0 e TLS 1.1

O pesquisador primeironotei o problema com o Ubuntu versão 3.6.13-2ubuntu1, e reproduzi-lo com uma compilação do master a partir de 52e78f1e.”

Alguns pesquisadores de segurança têm argumentado que o GnuTLS deve ser removido como uma dependência, com muitos expressando seu desdém contra a biblioteca, como apontado por TheRegister.

O dicionário MITRE CVE fornece a seguinte descrição da vulnerabilidade:

GnuTLS 3.6.x antes 3.6.14 usa criptografia incorreta para criptografar um tíquete de sessão (perda de confidencialidade no TLS 1.2, e um desvio de autenticação no TLS 1.3). A versão afetada mais antiga é 3.6.4 (2018-09-24) por causa de um erro em um 2018-09-18 comprometer. Até a primeira rotação da tecla, o servidor TLS sempre usa dados incorretos no lugar de uma chave de criptografia derivada de um aplicativo.

Não há mitigação conhecida contra o problema, O comunicado da RedHat diz.

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...