一个安全漏洞的修补程序安全漏洞可能威胁受SSL保护的网站
近期涉及一个安全漏洞的修补程序安全漏洞可能威胁受SSL保护的网站内容备受瞩目,很多读者对此也很有兴趣,现在给大家罗列关于一个安全漏洞的修补程序安全漏洞可能威胁受SSL保护的网站最新消息。
互联网工程任务组(IETF)已经完成了针对修复安全套接字层协议安全性漏洞的研究工作,该研究人员于去年8月发现。
该漏洞使SSL锁定部分无效,并使攻击者能够破坏使用SSL来确保安全的站点,包括银行站点和使用基于Web服务的协议的后台系统。Steve Dispensa和Marsh Ray发现了这个问题,他们在两因素身份验证提供商PhoneFactor中工作。
“该错误允许中间人在易受攻击的SSL / TLS连接开始时插入一些恶意数据,但不允许他直接读取合法方发送的数据。” Ray解释道。“这种能力被称为“盲明文注入攻击”。最初,人们希望这种有限的功能可以减轻一些影响。不幸的是,由于HTTPS的设计,它似乎受到了特别严重的影响,并且在公开披露该漏洞后不久,就证明了对Twitter HTTPS API的有效攻击。”
IETF草案的副本可在此处找到。纳入TLS社区的反馈后,提议的修补程序已由IESG于2010年1月7日批准。IESG负责IETF活动和互联网标准流程的技术管理。该决定意味着客户现在可以开始交付实施IETF更改的补丁程序。
Ray说:“由于受影响的系统数量众多,种类繁多,因此许多供应商会在进行补丁发布之前进行大量的[SSL扩展]互操作性测试,” “已经使用补丁的初步版本进行了一些互操作性测试,但是由于IETF已完成了该修补程序的详细信息,因此正在进行另一轮测试。
他补充说:“某些开源TLS实现(OpenSSL,GnuTLS)已在其公开可见的存储库中进行了修复,但目前尚未发布正式的补丁程序。” “大多数较大的供应商(开源和其他)在实施此修补程序方面已有数月的先机,因此,此时他们不应该从零开始。”
该公司已经开发了一个页面来跟踪此问题的修补程序的部署。可以在此处查看有关该漏洞的PhoneFactor论文(PDF)。