TLS RSA cypher sérülékenység
Angol cím: 
Variation of 19-Year-Old Cryptographic Attack Affects Facebook, PayPal, Others
CERT-Hungary ID: 
CH-14325
Felfedezés dátuma: 
2017-12-12
Összefoglaló: 

Három biztonsági kutató, egy 19 éves, titkosításon alapuló támadás újabb változatát fedezte fel, mely során - bizonyos körülmények fennállása esetén - megszerezhetőek a HTTPS forgalomhoz köthető privát kulcsok.

Leírás: 

A TLS szabványon alapuló https forgalmazás során, ha a webszerver az RSA titkosítási eljárást használja kulcscsere algoritmusként, a session kulcs egy egyszerű brute force támadással kikövetkeztethető, és a titkosított https forgalom a támadó fél részére megismerhetővé válhat.


A kutatók javasolják, hogy az érintett webkiszolgálók esetén az RSA titkosítás helyett az ECDH titkosítási eljárás kerüljön beállításra.

Megoldás: 
Frissítsen a legújabb verzióra
Megoldás: 

Tiltsa le a TLS RSA cypher-t.

Egyes alkalmazások esetén elérhető a frissítés.

Érintett verziók: 
TLS RSA