Warning: Illegal string offset 'region' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 386

Warning: Illegal string offset 'placename' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 390

Warning: Illegal string offset 'position' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 394

Vulnerabilità nel protocollo SSL/TLS


Warning: Illegal string offset 'addMap' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 639

Warning: Illegal string offset 'position' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 561

Warning: Illegal string offset 'position' in /home/mhd-01/www.gabcicala.it/htdocs/wp-content/plugins/mygeopositioncom-geotags-geometatags/mygeopositioncom-geotags-geometatags.php on line 603

Anche se la notizia è un pò datata mi preme mantenere una traccia sul mio blog perchè in passato mi son dovuto occupare di un progetto nel quale l’accesso in un’area riservata veniva controllato mediante richiesta di certificati lato client. E questa casistica rientra ..direi…

Stando al rapporto la vulnerabilità viene fuori ogni volta che per accedere ad un’area riservata di un server viene fatta una rinegoziazione tra server e client all’interno di una sessione già in essere. La rinegoziazione parte col richiedere il certificato lato client per trustare la parte client. La richiesta originaria viene replicata una volta autenticata mediante il certificato lato client;  il problema è stato descritto come un “authentication gap”. In pratica il metodo permette un attacco del tipo MITM, ovvero un attaccante può intromettersi nella comunicazione e contemporaneamente spacciarsi come server per il client e come client per il server.
Maggiori particolari di un possibile attacco nell’articolo allegato.
Il problema affligge sia Microsoft IIS che il web server Apache. Una veloce patch è stata implementata da Ben Laurie ma questa molto semplicemente ferma la rinegoziazione, quindi non risolve il problema. Una soluzione di lunga durata è ancora in discussione col gruppo di lavoro dell’IETF che sta lavorando su di una bozza che dovrebbe contenere una soluzione.

Fonte notizia: http://www.h-online.com/security/news/item/Vulnerability-in-SSL-TLS-protocol-851478.html

About the Author: glycerin