![[CERT-SE]](/static/img/cert-se.svg)
![[MSB]](/static/img/msb.svg)
Uppdaterad | Publicerad
SR09-182 TLS - Sårbar implementation hos ett flertal leverantörer
Sårbarheten kan utnyttjas för att utföra en "man-in-the-middle"-attack.
Problembeskrivning
CVE-referens: CVE-2009-3555
Sårbarheten finns i ett flertal leverantörers implementation av TLS och mer specifikt när en TLS-session ska omförhandlas. Vid ett effektivt utnyttjande kan en angripare som placerat sig mellan en användare och en TLS-skyddad tjänst skicka med godtycklig klartext i en, för användaren, till synes, skyddad session. Detta kan utnyttjas för att till exempel injicera en godtycklig HTTP-förfrågan.
Sårbarheten drabbar bland annat flera versioner av OpenSSL och GnuTLS. För en utförlig lista över drabbade leverantörer och versioner se: http://www.securityfocus.com/bid/36935/info
Mer information och programrättningar
http://www.securityfocus.com/bid/36935
http://extendedsubset.com/?p=8
http://www.ietf.org/mail-archive/web/tls/current/msg03942.html