Schlagwort-Archive: SSL

Kleineres Sicherheits-Update für PostgreSQL

Die PostgreSQL-Entwickler haben kleinere Updates aller unterstützten Entwicklungen veröffentlicht. Die jeweils aktuellen Versionen des freien Datenbanksystems lauten nun 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23 und 7.4.27. Das Release beseitigt ein als kleiner eingestuftes SSL-Authentifizierungsproblem und einen Fehler mit erweiterten Zugriffsrechten bei Indices. Die Entwickler raten allen PostgreSQL-Datenbankadministratoren, ihre Versionen zum nächstmöglichen Zeitpunkt zu aktualisieren.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share

Lücke im SSL-Protokoll ermöglicht Passwort-Klau

Der Student Anil Kurmus hat es geschafft, die kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll praktisch für Angriffe zu nutzen. Augenscheinlich ist es ihm gelungen, Passwörter von Twitter auszulesen.

Bei diesen Versuchen hat er eine Man-in-the-Middle-Attacke durchgeführt und letztlich unter Beweis gestellt, dass die Lücke zwar exotisch sei, in der Praxis aber durchaus relevant sein kann. In technischer Hinsicht hatte Kurmus an den verschlüsselten HTTPS-Request eine eigene Twitter-Nachricht angehängt.

Wegen der TLS-Renegotiation-Schwachstelle erhielt Kurmus den vollständigen HTTP-Request des Opfers in Form von einem Tweet.

quelle : winfuture.de, Hier klicken um den vollen Artikel zu lesen.

Share

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fallen von den populären Browsern nur Firefox und Opera nicht auf den Trick herein.

quelle : heise.de, Hier klicken um den vollen Artikel zu lesen.

Share