[Pardus-guvenlik] [PLSA 2009-191] OpenSSL: TLS Belirtiminde Aradaki Adam Saldırısı

pardus-guvenlik at pardus.org.tr pardus-guvenlik at pardus.org.tr
3 Ara 2009 Per 05:13:53 EET 

------------------------------------------------------------------------
Pardus Linux Güvenlik Bildirisi 2009-191          guvenlik at pardus.org.tr
------------------------------------------------------------------------
  Tarih: 2009-12-03
   Önem: 4
    Tür: Remote
------------------------------------------------------------------------

Özet
====

OpenSSL TSL/SSLv3 protokolü ikmalinde çok ciddi bir zaafiyet bulundu.
Bu zaafiyet aradaki adam saldırganları tarafından sunucuya  geçerli
bir kullanıcıdan geliyormuş gibi görünen istekler  gönderilmesine
olanak veriyor.


Açıklama
========

OpenSSL'in bu güncellemeden önceki TLS/SSLv3 protokolü ikmali yeniden
tertip    edilmiş olan    halihazırda     gönderilmiş     veriyi
ilişkilendiremiyordu. Bu durum aradaki  adam  saldırganlarının  bir
HTTPS  oturumuna farkedilmeden  HTTP  istekleri  zerkedilmesine   izin
veriyordu. Örneğin Apache'nin mod_ssl bileşeni openssl kullandığı
için bu tür saldırıya açıktı.



Bu  zaafiyetin HTTPS  ile  korunan  web  sitelerine   erişmek   için
kullanıldığı düşünülüyor.



Bu  güncellemenin openssl  kullanan  uygulamalarda   yeniden   tertip
işlemlerini kapattığını ve bu nedenle bazı durumlarda problemlere
yol açabileceğini hatırlatmak isteriz. Özellikle SSL yeniden tertipi
gerektirecek şekilde yapılandırılmış  HTTP  sunucuları  düzgün
çalışmayacaktır. Yapılandırmalarınızı kontrol etmelisiniz.  Ek
olarak, bu saldırının HTTP ile sınırlı olduğunu da unutmayınız.


Etkilenen paketler:

  Pardus 2009:
    openssl, 0.9.8k-25-8 öncesi tüm sürümler


Çözüm
=====

openssl için güncelleme mevcut. Paket Yöneticisi'ni kullanarak,  ya  da
konsolda tek komut ile güncelleme yapabilirsiniz:

    pisi up openssl

Referanslar
===========

  * http://bugs.pardus.org.tr/show_bug.cgi?id=11515
  * http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555
  * http://extendedsubset.com/?p=8
  * http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html
  * http://www.tombom.co.uk/blog/?p=85

------------------------------------------------------------------------

Pardus-guvenlik mesaj listesiyle ilgili daha fazla bilgi