Päivitämme tähän artikkeliin tietoomme tulleita haavoittuvuuksia, joilla mielestämme voi olla vaikutusta suomalaisten organisaatioiden SSL-varmenteiden hyödyntämiseen.
Seuraavien vaikutusta on vielä vaikea arvioida asiakkaillemme:
16.8.2016 / Viestintävirasto: Haavoittuvuus WebKit-pohjaisissa sovelluksissa
(Artikkeli toteaa, että saattaa vaikuttaa esim. Operaan, Safariin ja Chromeen – toimittajat eivät kuitenkaan ole 1,5 kuukauden aikana ainakaan raportoineet päivitystarpeita)
Tiedossa ei ole, että nämä olisivat aiheuttaneet ongelmia asiakkaillemme:
2.8.2016 / NCSC-FI: Intel CrossWalk project does not validate SSL certificates after first acceptance
4.7.2016 / Security Tracker: HPE Service Manager: A remote user may be able to decrypt TLS connections in certain situations.
Seuraavien vaikutusta on vielä vaikea arvioida asiakkaillemme:
16.8.2016 / Viestintävirasto: Haavoittuvuus WebKit-pohjaisissa sovelluksissa
https://www.viestintavirasto.fi/2016/haavoittuvuus-2016-109
WebKit-pohjaisista sovelluksista on löytynyt välimieshyökkäyksen mahdollistava haavoittuvuus.
Välityspalvelinta käytettäessä asiakasohjelmistot tekevät selväkielisen HTTP CONNECT -kyselyn, kun asiakasohjelmisto on muodostamassa salattua HTTPS-yhteyttä. Hyökkääjän, joka pystyy manipuloimaan välityspalvelimen vastauksia, on mahdollista suorittaa välimiesmyökkäys, jota WebKit-pohjaisia sovelluksia käyttävät asiakasohjelmistot eivät havaitse. Tämän seurauksena selain näyttää SSL/TLS-yhteyden merkiksi lukkokuvakkeen osoiterivillä, vaikka salattua yhteyttä ei ole muodostunut.
Wesentran kommentteja 16.8.2016 / 17:15:
- Tivin artikkelissa 16.8.2016 todetaan ”Kyberturvallisuuskeskus rauhoittelee kertomalla, että hyökkäyksen toteuttaminen ei ole helppoa, sillä hyökkääjän pitää kyetä kontrolloimaan hyökkäyspalvelimen vastauksia.”
- CERT-ilmoitussivuilla on linkki toimittajien kommentteihin, ja näissä ei näy ohjeita päivitykseen tms.
Tiedossa ei ole, että nämä olisivat aiheuttaneet ongelmia asiakkaillemme:
2.8.2016 / NCSC-FI: Intel CrossWalk project does not validate SSL certificates after first acceptance
Intel CrossWalk project does not validate SSL certificates after first acceptance
https://www.kb.cert.org/vuls/id/217871
Classification: Severe, Solution: Update, Exploit: Unknown More detailed information about impact and updates at
https://blogs.intel.com/evangelists/2016/07/28/crosswalk-security-vulnerability/
4.7.2016 / Security Tracker: HPE Service Manager: HPE Service Manager TLS Diffie-Hellman Export Cipher Downgrade Attack Lets Remote Users Decrypt Connections
A vulnerability was reported in HPE Service Manager. A remote user may be able to decrypt TLS connections in certain situations.
Impact: Modification of authentication information