Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.
!!

Vi söker chef till Enheten för operativ cybersäkerhetsförmåga, en viktig roll i arbetet med att utveckla Sveriges förmåga att förebygga och hantera it-incidenter. Sista ansökningsdag är den 19 oktober.

Publicerad - Sårbarhet, OpenSSL

SR11-226 OpenSSL - ECC Private Key Information Disclosure-sårbarhet

OpenSSL är sårbart och kan medge informationsläckage. Informationen kan sedan användas för att underlätta vid framtida angrepp.

Problembeskrivning

CVE-referens: CVE-2011-4354

OpenSSL är sårbart och kan medge informationsläckage. Informationen kan sedan användas för att underlätta vid framtida angrepp.

Sårbarheten finns om ECC ("elliptic curve")-kryptografi används (F-256 och F-284). Under speciella omständigheter kan en felberäkning ske och en angripare kan utnyttja fenomenet för att få åtkomst till känslig information.

Ett attackscenario kan se ut enligt nedan:

  1. En angripare lokaliserar en sårbar dator.

  2. Angriparen placerar sig så att nätverkstrafik till och från den sårbara datorn kan analyseras (MiTM).

  3. Angriparen analyserar trafiken och kan eventuellt ta reda på en användares privata nyckel.

Följande version är inte sårbar:

OpenSSL Project OpenSSL 0.9.8 h

Rättningar finns att tillgå, för mer information, se länkarna nedan.

Påverkade versioner

  • OpenSSL Project OpenSSL 0.9.8 a
  • OpenSSL Project OpenSSL 0.9.8 b
  • OpenSSL Project OpenSSL 0.9.8 c
  • OpenSSL Project OpenSSL 0.9.8 d
  • OpenSSL Project OpenSSL 0.9.8 e
  • OpenSSL Project OpenSSL 0.9.8 f
  • OpenSSL Project OpenSSL 0.9.8 g

Mer information och programrättningar

http://marc.info/?t=119271238800004

http://openssl.org