Website-Icon .: blog cscholz.io :.

Apache2 Freak Angriff auf TLS

Wie heute auf Golem.de mitgeteilt wurde, hat ein Team des französischen Forschungsinstituts im Rahmen des Projektes Smack Inira bei der Untersuchung von TLS Implementierungen zwei neue Sicherheitslücken gefunden. Verwundbare Systeme wie z.B. Apple-Systeme akzeptieren einen schwachen temporären 512-Bit RSA Schlüssel. Theoretisch ist das Risiko für so einen Angriff gering, da der Schlüssel für den Angriff fast in Echtzeit dechiffriert werden muss,jedoch speichert z.B. Apache den Schlüssel für die Dauer eines gesamten Serverprozesses. Hinzu kommt, dass sich diese schwachen 512-Bit RSA Schlüssel nachgewiesen maßen binnen 7 Minuten knacken lassen, wodurch die notwendige Zeit für einen Angriff gegeben ist.

Weitere Informationen zu der Sicherheitslücke sind auch unter freakattack.com zu finden.

Um seinen eigenen Webserver auf die Verwundbarkeit hin zu testen, hat Devin EGAN ein Bash-Skript zur Verfügung gestellt.

Weitere Quellen

Nachtrag vom 11.03.2014

Bei den Kollegen von sys4.de bin ich gerade auf zwei Einträge gestoßen, wie man Postfix und Dovecot gegen die FREAK Atacke absichert.

Die mobile Version verlassen