SSL/TLS协议漏洞 影响TLS协议1.0及SSL所有版本

9月21日布宜诺斯艾利斯举行的Ekoparty安全会议上,安全研究人员Thai Duong和Juliano Rizzo将演示针对SSL/TLS的概念验证攻击。 研究人员在SSL/TLS协议中发现了严重弱点,能让黑客悄悄破译Web服务器和终端用户浏览器之间传输的加密数据。

弱点主要影响TLS协议1.0版及SSL所有版本,TLS 1.1/1.2未受影响。TLS是SSL的继任者,TLS 1.0相当于SSL 3.1。研究人员的概念验证代码BEAST可以解密目标网站的cookies,获得权限访问受限用户的帐号。研究人员将在会议上演示解密访问PayPal帐号的认证cookies。

原文链接:solidot

时间: 2024-09-17 04:47:58

SSL/TLS协议漏洞 影响TLS协议1.0及SSL所有版本的相关文章

TCP 协议漏洞影响大量 Linux 设备

本周三在得州奥斯丁举行的 USENIX 安全研讨会上,加州大学河滨分校研究生 Yue Cao 将报告一个严重的TCP协议边信道漏洞(PDF),该漏洞允许攻击者远程劫持任意两主机之间的会话.该漏洞影响Linux 3.6+ 内核,根据邮件列表的讨论内核已经在一个月前修复了漏洞. 互联网工程任务组在2010年发布了规格 RFC 5961, 旨在解决TCP的盲窗攻击,但它同时引入了新的漏洞.漏洞的根源在于RFC 5961引入的 challenge ACK 响应和 TCP 控制封包的速率限制,该漏洞允许盲

免费SSL工具有漏洞 黑客可获取任何域名的SSL证书

荷兰安全公司CompuTest的安全研究员Thijs Alkemade在以色列公司StarCom创建的发布免费SSL证书的工具StartEncrypt中发现多个设计和执行缺陷. StarCom受到Let's Encrypt项目的启发,在6月4日推出StarEncrypt项目.想要部署免费StartSSL证书的用户只需下载一个Linux客户端并将其上传 到服务器即可.这个客户端会执行一个域名验证流程,通知StartSSL服务,随后为运行在服务器上的域名发布并安装一个"扩展验证"SSL证书

Windows内核再次出现0Day漏洞 影响win2000到win10所有版本 反病毒软件恐成瞎子

从 windows 2000 到 windows 10 的最新版本, 所有操作系统的 PsSetLoadImageNotifyRoutine 中都发现了 Microsoft 内核漏洞.漏洞存在于 Microsoft 提供给安全供应商的 API 中, 是为了让他们知道操作系统正在加载的文件,如果这个API出现问题,防病毒软件就成了瞎子. 问题出在Windows回调机制PsSetLoadImageNotifyRoutine Microsoft 在 Windows 2000 中启动了 PsSetLoa

协议森林17 我和你的悄悄话 (SSL/TLS协议)

作者:Vamei 出处:http://www.cnblogs.com/vamei 严禁任何形式转载.   TLS名为传输层安全协议(Transport Layer Protocol),这个协议是一套加密的通信协议.它的前身是SSL协议(安全套接层协议,Secure Sockets Layer).这两个协议的工作方式类似,但TLS协议针对SSL协议进行了一些改善.SSL/TLS协议利用加密的方式,在开放的互联网环境中实现了加密通信,让通信的双方可以安心的说悄悄话..   加密  SSL协议的基础是

思科又发紧急安全通告 IOS集群管理协议漏洞和Struts2漏洞 有影响产品列表及应对措施了

思科今天更新了两个"紧急"的安全通告,一个针对 Cisco互联网操作系统(IOS) 和Cisco IOS XE Software,另一个针对问题不断的 Apache Struts2 ,确认了两个漏洞对于思科产品的影响列表(密密麻麻数不清,大家点文末的官方文档,自己看吧),并给出了临时应对措施.在此之前,绿盟科技 曾就前一个漏洞 CVE-2017-3881 作出应对措施的整理 . 思科集群管理协议漏洞CVE-2017-3881 思科表示, IOS漏洞存在于Cisco IOS和Cisco

FreeRADIUS爆出TLS恢复认证绕过漏洞CVE-2017-9148 2.2x、3.0.x、3.1.x及4.0.x多个版本受影响

一位来自卢森堡学术网络RESTENA的安全研究员发现了FreeRADIUS中存在TLS恢复认证绕过漏洞.纵观漏洞时间轴可发现,来自布拉格经济学院的研究员Luboš Pavlíček已在2017年4月24日独立报告过该漏洞. FreeRADIUS是什么 FreeRADIUS是全球最受欢迎的Radius服务器."它是多项商务服务的基础,为很多世界500强公司和一级网络服务提供商提供AAA服务需求,还被广泛用于企业Wi-Fi和IEEE 802.1X网络安全,尤其是学术社区,包括eduroam.&quo

蓝牙协议爆严重安全漏洞 影响53亿设备

据外媒报道称,物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备--从Android.iOS.Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,利用这些蓝牙协议漏洞,Armis构建了一组攻击向量(attack vector)"BlueBorne",演示中攻击者完全接管支持蓝牙的设备,传播恶意软件,甚至建立一个"中间人"(MITM)连接. 演示中建立一个"中间人"(MITM)连接,以实现

蓝牙协议爆严重安全漏洞影响53亿设备 研究人员演示攻击向量BlueBorne

据外媒报道称,物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备--从Android.iOS.Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,利用这些蓝牙协议漏洞,Armis构建了一组攻击向量(attack vector)"BlueBorne",演示中攻击者完全接管支持蓝牙的设备,传播恶意软件,甚至建立一个"中间人"(MITM)连接. 演示中建立一个"中间人"(MITM)连接,以实现

协议系列之HTTP协议

什么是HTTP\HTTPS HTTP是Hyper Text Transfer Protocol(超文本传输协议)的缩写.HTTP协议用于从WWW服务器传输超文本到本地浏览器的传输协议,它能使浏览器更加高效,使网络传输减少,保证计算机正确快速地传输超文本文档.现在我们普遍使用的版本是HTTP1.1. HTTP是一个应用层协议,它由请求和响应组成,是一个标准的B/S模型:它也是一个无连接的协议,这里无连接指的是每次连接只处理一个请求,服务器处理完客户端请求后便断开连接:同时,它也是一个无状态的协议,