آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

آسیب‌پذیری انتشار اطلاعات کانال جانبی در پیاده‌سازی‌های TLS به‌واسطه تفاوت فرآیند پردازش PKCS#1 معتبر و نامعتبر

عنوانآسیب‌پذیری انتشار اطلاعات کانال جانبی در پیاده‌سازی‌های TLS به‌واسطه تفاوت فرآیند پردازش PKCS#1 معتبر و نامعتبر
موضوع اصلیNetwork Services
کلمات کلیدیTransport Layer Security, TLS, PKCS padding
شرحTLS مکانیزمی برای انتقال امن در میان اتصالات شبکه می‌باشد، که با استاندارد RFC5246 تعریف می‌شود. در پیاده‌سازی ‌هایی که دستورالعمل‌های RFC5246 را به صورت دقیق دنبال نمی‌کنند، امکان نشت اطلاعات به مهاجمین حین فرآیند پیش‌پردازش PKCS#1 وجود دارد. حملاتی که از این آسیب‌پذیری استفاده می‌کنند، اصطلاحاً حملات ROBOT نامیده می‌شوند.
منبع کشفhttps://www.kb.cert.org/vuls/id/144389
سطح خطرزیاد
نحوه رفع مشکلراه حل رفع این مشکل غیرفعال‌سازی TLS RSA می‌باشد.
آدرس دریافت وصلهhttps://www.kb.cert.org/vuls/id/144389
اطلاعات بیشترhttps://robotattack.org https://www.usenix.org/system/files/conference/usenixsecurity14/sec14-paper-meyer.pdf http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf
شماره ارجاعCVE¬2017¬-13872, CVE-2017-6168, CVE-2017-1000385, CVE-2017-17427, CVE-2017-13098, CVE-2017-13099, CVE-2017-17428, CVE-2017-17382, CVE-2012-5081, CVE-2016-6883

اخبار مربوطه


خبری پيدا نشد
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست