OpenSSL és Bind hibák

1. A Cisco frissítette azon eszközök listáját, melyek a már korábban felfedezett OpenSSL sérülékenységekben érintettek. (6 különböző sérülékenység, melyből az egyik, melyet Logjam néven azonosítottak, man-in-the-middle támadást tesz lehetővé).

A frissített lista és a sérülékenységek leírása az alábbi linken található:

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150612-openssl

(Multiple Vulnerabilities in OpenSSL (June 2015) Affecting Cisco Products)

További információ a

http://tech.cert-hungary.hu/vulnerabilities/CH-12325 , https://www.openssl.org/news/secadv_20150611.txt oldalakon érhető el.

 

2. Újabb Open SSL sérülékenységet is jelentettek, melyet kihasználva a távoli felhasználók megkerülhetik a tanúsítvány érvényesítését a célrendszeren.

(OpenSSL Alternative Chains Certificate Forgery Vulnerability (July 2015) Affecting Cisco Products)

Ha egy tanúsítványlánc érvényesítése sikertelen, a rendszer megkísérel érvényesíteni egy alternatív tanúsítványláncot, de nem ellenőrzi a nem megbízható tanúsítványok CA flag-jét. Ennek eredményeképpen egy távoli felhasználó egy érvénytelen tanúsítványt érvényesíthet a célrendszeren.

Érintett a TLS/SSL/DTLS ügyfelek és a TLS/SSL/DTLS kiszolgálók ügyfél-hitelesítése.

További információk a

http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20150710-openssl

http://tech.cert-hungary.hu/vulnerabilities/CH-12418 ,

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1793 oldalakon érhető el.

 

3. A BIND-ban egy veszélyes sérülékenységet fedeztek fel, azonban a javításhoz szükséges frissítések már elérhetők. A hiba szolgáltatásmegtagadási támadásokat tehet lehetővé, amiknek következtében a névfeloldás megbénulhat.

A sérülékenység a névfeloldáshoz kötődő ellenőrzési mechanizmusokban található. Amikor az alkalmazás DNSSEC bevonásával ellenőriz, akkor az ellenőrzési mechanizmus megbéníthatóvá válhat. Különféle zónákkal történő visszaélésekre adódhat lehetőség, és a névfeloldási szolgáltatás kliensoldali elérése megszűnhet.

A sérülékenység a következő paraméterek mellett jelent kockázatot:

  • "dnssec-validation auto;" 

  • "dnssec-validation yes;"

További információk a

https://kb.isc.org/article/AA-01267 ,

http://tech.cert-hungary.hu/vulnerabilities/CH-12409 ,

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4620 oldalakon érhetők el.