色んな認証を使っているサービスはvulnerableという状態になり 現在CVE-2009-3555で(現未だレビュー際中状態)詳しいアップデートを待ち状態です。
セキュリティー専門世界の中にもどこ迄影響になるかとproとconsのコメントを沢山出てますし、1つ面白いレビューはIBMインターネットセキュリティーシステムズのブログに書いてありますが(URLは下記となります)。
http://blogs.iss.net/archive/sslmitmiscsrf.html
本問題について"man-in-the-middle"攻撃される可能性が高いです。SSL「sniffer」ツールを使いSSLの上で交換される情報を全て取れるという事です。つまり下記のURLに書いたツールですね。
http://www.thoughtcrime.org/software/sslsniff/index.html
セキューリティー問題について、簡単に再現が出きる物では無いけれども仕組み的にはKNOWHOWが持っている方々ですとやれるので、私敵には非常に注意が必要と思います。さらに、本問題はARPポイソン又はDNSポイソン又はWiFiポイソンアタックとコンビネーションで動きをされると結構大きい数DSLユーザまでにアタックを影響されると思われます。
※詳しく"man-in-the-middle"攻撃のイメージは下記のURLに入ってます↓
http://www.g-sec.lu/practicaltls.pdf
今の分った事は、やはり現在SSL/TLSのRFC/ISO(仕様スタンダード説明)が色々足りなくてアップグレードが必要じゃないかと、内容的にはCVE-2009-3555の結果がクリア迄に今まとめていろ所です。
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
compiled & written by: Hendrik ADRIAN, CEO
0 件のコメント:
コメントを投稿