22. 5. 2015

Skupiny bezpečnostních výzkumníků ze společností INRIA, Microsoft Research, ve spolupráci s  Johns Hopkins University, University of Michigan a University of Pensylvania objevily zranitelnost v TLS protokolu, který využívají řady webových stránek, VPN a e-mailových serverů pro šifrovanou komunikaci.

Charakteristika zranitelnosti

Chyba pojmenovaná „Logjam“ ovlivňuje libovolný server, který umožňuje snížit úroveň DHE_EXPORT pro šifrování síťového provozu. DHE_EXPORT používá Diffie-Hellman algoritmus, který je využíván prohlížečem a serverem pro vygenerování tajného klíče a pro ustanovení zabezpečeného spojení. Metoda s využitím Diffie-Helman algoritmu byla až dosud považována za velmi bezpečnou, protože klíč může být v průběhu spojení aktualizován či měněn a k jeho generování se běžně využívají 2048-bitová prvočísla. „Logjam“ však umožňuje útočníkovi vynutit si snížení úrovně šifrování tak, aby se používaly pro generování klíčů například pouze 512-bitová prvočísla. V závislosti na prostředcích a vybavení by pak bylo možné takovouto šifru prolomit a provoz odposlechnout.

Postižené systémy

Všechny dostupné webové prohlížeče, které podporují malé parametry DHE a nejsou záplatovány proti této zranitelnosti.

Dopad zranitelnosti

Tato chyba umožňuje útočníkovi v pozici Man-in-the-Middle zachytávat a dešifrovat zabezpečenou komunikaci mezi uživateli a webovými stránkami či e-mailovými servery. Může tak odposlechnout osobní nebo přístupové údaje včetně hesel, nebo s těmito daty jinak manipulovat.

Řešení

Doporučuje se aplikovat nejnovější patche webových prohlížečů. Pokud spravujete webový či e-mailový server, je doporučeno vypnout DHE_EXPORT a nastavit používání Elliptic curve Diffie-Hellman (ECDHE). Současně je vhodné nastavit minimální povolenou úroveň šifrování 1024 nebo 2048 bitů.

CVE

CVE-2015-4000

Odkazy

http://thehackernews.com/2015/05/logjan-ssl-vulnerability.html
https://blog.cloudflare.com/logjam-the-latest-tls-vulnerability-explained
http://www.tripwire.com/vert/vert-alert/logjam
http://www.tripwire.com/state-of-security/vulnerability-management/logjam-who-is-the-man-in-the-middle
https://weakdh.org/
https://access.redhat.com/articles/1456263