http://www.cdc.informatik.tu-darmstadt.de/securebrowser enthält Details einer kryptographischen Verwundbarkeit in der SSL-Implementierung einer Vielzahl von Web-Browsern.
Der Fehler erlaubt es einem Angreifer, beliebige Zertifikate zu fälschen, falls das zum Signieren verwendete Zertifikat einen öffentlichen Exponenten von 3 hat. Die Fälschung wird von Browsern akzeptiert, die Wurzelzertifikate mit einem öffentlichen RSA-Exponenten von 3 installiert haben. In üblichen Browsern sind eine Reihe solcher Wurzelzertifikate installiert.
Es wird empfohlen, die aktuelleste, auf diese Weise nicht angreifbare Version der Browser umzusteigen. Falls dies nicht möglich ist, sollten CA-Zertifikate mit einem öffentlichen RSA-Exponenten von 3 aus dem Browser entfernt werden. Die oben angeführte Webseite enthält eine Liste dazu.
Es sind Versionen von Mozilla/SeaMonkey und Netscape angreifbar - daher ist es wahrscheinlich, dass auch Mozilla für OpenVMS anfällig ist.
Details dazu sind auf der Mozilla-Webseite zu finden unter
http://www.mozilla.org/security/announce/2006/mfsa2006-60.html .
Da das Problem in OpenSSL auftritt, ist auch VMS Mosaic betroffen. Das OpenSSL Security Advisory ist unter http://www.openssl.org/news/secadv_20060905.txt zu finden. Es erklärt, wie OpenSSL nachzurüsten ist, um den Fehler zu beseitigen.
Die aktuelle Version von HP SSL hat wahrscheinlich den gleichen Fehler. Anwender von VMS Mosaic mit HP SSL sollten entweder die angreifbaren Zertifikate aus CERT.PEM entfernen oder zu einer verbesserten Version von OpenSSL wechseln
Original auf www.openvms.org
|