Hlavní navigace

Závažná chyba v TLS/SSL implementaci od Apple

Ondřej Caletka

Nedávno vyšlá bezpečnostní oprava iOS opravuje zásadní problém v TLS knihovně od Apple. Podle analýzy problému na blogu Imperial Violet jde o banální programátorskou chybu v kódu pro ověření podpisu certifikátu serveru. Ta způsobila, že ověření platnosti serverového certifikátu skončí vždy úspěchem. SSL server tedy vůbec nemusí vlastnit privátní klíč k certifikátu, kterým se prokazuje, přesto je klientem uznán za právoplatného majitele certifikátu.

Adam Langley, autor blogu, vytvořil jednoduchý test na adrese www.imperialviolet.org:1266/, kde je záměrně nesprávný privátní klíč. Jste-li schopni navázat s touto adresou spojení bez chyby, je váš systém také postižen. Kromě iOS jsou také postiženy některé verze OS X.

Tato zprávička byla zaslána čtenářem serveru Root.cz pomocí formuláře Přidat zprávičku. Děkujeme!

Našli jste v článku chybu?