A huge collection of 3400+ free website templates JAR theme com WP themes and more at the biggest community-driven free web design site
Home / Ushauri wa Usalama / Uwezekano wa Kushambuliwa itifaki SSL 3.0 na Kushambuliwa POODLE

Uwezekano wa Kushambuliwa itifaki SSL 3.0 na Kushambuliwa POODLE

TZCERT-2014-12:  w: TAHADHARI YA SHAMBULIO

SSL 3.0 Uwezekano wa Shambulio la itifaki na POODLE

Tarehe ya Kutolewa mara ya Kwanza: 11.12.2014

Tarehe ya Mwisho Kutolewa: 11.12.2014

Chanzo: US-CERT, Symantec , IETF

Mfumo Ulioathirika:

Mifumo na program tumizi zote zinazotumia  Secure Socket Layer (SSL) 3.0 yenye nui (hali  ya utendaji wa program), mfuatano  wa maandishi ya fumbo unaweza kuathirika. Hata hivyo shambulio la  POODLE (Padding Oracle On Downgraded Legacy Encription) inaonesha uwezekano  huu kwa kutumia vivinjari na seva za mtandao, kitu ambacho ni moja ya hali zinazoweza kutumiwa.

Hali Ilivyo
Msimbo wa Itifaki ya Safu ya Soketi Salama (SSL) 3.0 una uwezekano wa kushambuliwa,  hitilafu imegundulika ambayo inaweza kutumiwa na mshambuliaji kuingilia data iliyosimbuliwa  kati ya kompyuta na seva.

Maelezo
SSL 3.0 hivi sasa inatumika kwenye vivinjari vingi vya mtandao, wateja wengi wa TLS wameshusha hadhi ya itifaki ya usimbuzi kwenda SSL 3.0 wanapofanya kazi na seva za  zamani. Shambulio la POODLE  linatumia mwanya wa upitaji kwa urahisi uliojengwa ndani ya SSL/TLS kulazimisha matumizi ya SSL 3.0 na kutumia unafuu wa udhaifu huo kuondoa uandishi wa fumbo wa maudhui yaliyobainishwa katika utaratibu wa SSL. Uharibifu wa msimbo hufanyika  baiti kwa  baiti na huzaa idadi kubwa ya  maunganisho kati ya  mteja na seva.

Mazingira kama ya Wi-Fi ya umma, Hotspots,  hufanya shambulio hili kuwa tatizo kubwa na shambulio la aina hii huangukia kwenye kundi la Mtu-wa-Kati (MITM).

Athari

Kwa kutumia  udhaifu huu katika mazingira ya kimtandao, mshambuliaji anaweza kufikia data nyeti iliyopitishwa  wakati wa hatua za mtandao zilizofumbwa  , kama vile nywila, vikumbushi  vya tovuti zilizotembelewa,  na ishara nyingine za uhalisia zinazoweza kutumiwa kuingia  kwa ukamilifu mtandaoni (kuwa kama mtumiaji mwenyewe, kufikia yaliyomo kwenye  hazina data n.k.)

Ufumbuzi

Kwa sasa hakuna ufumbuzi wa kuzuia ukosefu wa kinga wa SSL 3.0 yenyewe kwa kuwa suala lenyewe ni la msingi kwa itifaki, hata hivyo kulemaza msaada wa SSL 3.0 kwenye utengenezaji upya mifumo na mifumo tumizi ndio ufumbuzi uliopo kwa sasa.

Baadhi ya watafiti wale wale waliogundua udhaifu huo pia walitafuta ufumbuzi kwa mojawapo ya masharti; TLS FALLBACK SCSV ni upanuzi wa itifaki inayozuia washambulizi wa MITM kuweza kulazimisha kuishusha hadhi itifakai. SSL ya wazi imeongeza usaidizi kwa TLS FALLBACK SCSV kwa matoleo ya karibuni na kupendekeza upandishaji daraja  ufuatao:

•   Watumiaji wa wazi wa OpenSSL 1.0.1 wapande kwenda 1.0.1j.

•   Watumiaji wa wazi wa  OpenSSL 1.0.0 wapande kwenda 1.0.0o.

•   Watumiaji wa wazi wa  OpenSSL 0.9.8 wapande kwenda 0.9.8zc.

Wateja na seva wanahitaji kusaidia TLS FALLBACK SCSV kuzuia mashambulio ya kushuka hadhi

Rejea

 http://www.symantec.com/connect/blogs/ssl-30-vulnerability-poodle-bug-aka-poodlebleed

https://www.us-cert.gov/ncas/alerts/TA14-290A

https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00

 

 

Best free WordPress theme

Check Also

Uwezekano wa Mashambulizi kwa Kuingiza FrontAccounting Multiple SQL

TZCERT-2014-04: Tahadhari ya Kushambuliwa Uwezekano wa Mashambulizi kwa Kuingiza amri za SQL kwenye Programu tumizi …

DISCLAIMER |FAQ |CONTACT US
Tanzania Computer Emergency Response © Hakimiliki 2024, Haki zote zimehifadhiwa.