Sårbarhet i SSL/TLS

Publisert: 05.03.2015

Ny SSL/TLS sårbarhet identifisert - også kalt FREAK attack.

Sårbarheten gjør det mulig for en angriper å tvinge HTTPS-kommunikasjon mellom klient og server over på en svakere kryptoalgoritme [1]. Dette kan medføre at angriper kan dekryptere HTTPS-kommunikasjonen. 

En HTTPS-sesjon er sårbar dersom server tillater RSA_EXPORT cipher suite og klient tillater RSA_EXPORT eller bruker en versjon av OpenSSL som er sårbar for CVE-2015-0204 [2].

OpenSSL sikkerhetsoppdatering er tilgjengelig for sårbarheten CVE-2015-0204. Denne ble sluppet i januar. Akamai, Apple og andre flere andre forventes å levere sikkerhetsoppdateringer i nærmeste fremtid.

  1. https://freakattack.com/
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0204
  3. https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations