Haavoittuvuus TLS-protokollassa

TLS on protokolla käyttäjän ja palvelun väliseen liikenteen salaamiseen. Salauksella voidaan suojata esimerkiksi verkkokauppa- ja -pankkiasiointia tai selainpohjaisen sähköpostin käyttöä. Jos liikennöinnissä käytetään kompressiota, vuotaa tiedon pakkauksen sivuvaikutuksena tietoa salattujen https-pyyntöjen sisällöstä. Ujuttamalla käyttäjän selaamille http-sivustoille tietyllä tavalla muotoiltua sisältöä, on hyökkääjän mahdollista saada selville https-istuntoon liittyvä sessioeväste. Evästettä käyttämällä hyökkääjä voi kaapata käyttäjän istunnon.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ei päivitystä
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • TLS 1.2- ja aiemmat versiot
  • Chrome ennen versiota 21.0.1180.89
  • Firefox ennen versiota 15.0.1
  • GnuTLS (TLS-kompressio ei ole oletuksena päällä)
  • Apache 2.x -sarja (ModSSL)

    Microsoft Internet Explorer-, Opera- ja Safari-selaimet sekä Microsoft IIS-palvelimet eivät ole haavoittuvia.

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä selaimet uusimpiin versioihin esimerkiksi automaattisella päivitystyökalulla. Www-palveluista on suositeltavaa ottaa TLS-kompressiotuki pois käytöstä.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248