إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

مشكلة أمنية في بروتوكول ssl/tls، cve-2009-3555

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • [هام] مشكلة أمنية في بروتوكول ssl/tls، cve-2009-3555

    مشكلة أمنية في بروتوكول SSL/TLS، CVE-2009-3555

    السلام عليكم ورحمة الله وبركاته

    هناك ثغرة أمنية في بروتوكول التشفير الواسع الانتشار SSL/TLS وخصوصا في متصفحات الإنترنت، يمكن أن يستخدمها شخص للتنصت على البيانات المشفرة. والاتصال المشفر يستخدم عادة عند تسجيل الدخول للمواقع من مواقع البنوك إلى البريد وغير ذلك

    الثغرة تمكن الشخص من التصنت على البيانات الهامة حتى لو أظهر المتصفح أنه آمن (رمز القفل عادة)، وتعمل الثغرة بالإستفادة من إعادة المخاطبة renegotiation وليس من المواثقة الأولى وهناك خوادم عطلت هذه الميزة المسماة session renegotiation

    للتحقق من متصفحك ادخل هذه الصفحة.
    https://ssltls.de/
    إن ظهرت لك صورة البطريق ولم تظهر صورة الشيطان فمتصفحك متوافق مع الاصلاح الجديد، لكن الاصلاح الجديد يتطلب خادما أصلحت الثغرة فيه إضافة إلى متصفح يدعم الإصلاح فلا تطمئن كثيرا.

    الضرر

    تمكن الثغرة المهاجم من حقن بيانات في الاتصال بين المستخدم client والخادوم server يحتمل أن تمكنه من تنفيذ أوامر بصلاحيات المستخدم أو حتى جمع معلومات مواثقة المستخدمين ( كلمات السر مثلا).

    الإنتشار

    ويذكر المصدر في موقع موزيلا أن المشكلة عامة في معظم الخواديم حول العالم لدرجة أنه يصعب تنبيه المستخدم عند وجود مواقع غير محدثة بسبب ضخامة عددها.

    لمزيد من المعلومات:
    https://wiki.mozilla.org/Security:Renegotiation
    http://web.nvd.nist.gov/view/vuln/de...=CVE-2009-3555

    اسامه

    الرخصة:
    CC Attribution-Share Alike 3.0 Unported

    جربت الموقع مع فيرفكس وكروم في أبونتو Lucid المحدث واظهر الموقع أن كل شيء على يرام بينما لم تكن ذات النتيجة بالنسبة ل Midori و Chrome الخاص باندرويد 2.1

    صراحة بحثت في المنتدى عن معرف الثغرة ولم أجد شيئا عنها فاستغربت مع انها تبدو من الأهمية بمكان وظهرت في أواخر 2009 والذي لفت انتباهي وجود تحديث جديد في ابونتو يتعلق بالبروتوكل اليوم

    أيضا لم ادري اين اضع هذا الموضوع بما أن اقسام الحماية متعلقة بالاستضافة والخواديم ولم اجد قسم يتعلق بحماية المستخدم العادي رغم ان الموضوع يتعلق بالاثنين وربما هنا افضل لجلب انتباه المستخدمين العاديين أكثر، فعذرا
    التعديل الأخير تم بواسطة أسامة عقاد; الساعة 22-09-2010, 01:05 PM. سبب آخر: متصفحك هو الآمن مع المواقع الآمنة وليست مع المواقع التي لم تركب التحديث
    https://twitter.com/damas_ua، للمحادثة المباشرة تجدني باسم az في قناة المجتمع

  • #2
    هل لهذه الثغرة علاقة برسالة غالبا يطلقها فيرفوكس فى المواقع التى تستخدم بروتوكول https ومعناها هو طلب بيانات غير مشفرة ضمن بيانات مشفرة ؟

    فيرفوكس 3.6.10 غير مصاب بالثغرة - وهذا طبيعى إذا كان مصدر الخبر موقع مودزيلا
    و chromium-6.0.486.0-1 غير مصاب أيضا رغم أن متصفح كروم لأندرويد مصاب !

    تعليق


    • #3
      اوبرا + فايرفوكس = نتائج ممتازه

      هل لهذه الثغرة علاقة برسالة غالبا يطلقها فيرفوكس فى المواقع التى تستخدم بروتوكول https ومعناها هو طلب بيانات غير مشفرة ضمن بيانات مشفرة ؟

      Twitter
      : @Linux4SA

      تعليق


      • #4
        فيرفوكس 3.6.10 غير مصاب بالثغرة
        +1
        Log Out
        Thanks linux ac from the depth of heart

        تعليق


        • #5
          الثغرة ليست من طرف واحد كما ذكرت بل هي على الشكل التالي:
          خواديم لا تدعم التعديل الجديد
          متصفحات لا تدعم التعديل الجديد

          الموقع https://ssltls.de/ يمكنك من اختبار متصفحك فهو يدعم التعديل الجديد على بروتوكول SSL/TLS
          و يمكنك من التحقق من الخاودم الذي لا يدعم بالطريقة المذكورة هنا
          https://twitter.com/damas_ua، للمحادثة المباشرة تجدني باسم az في قناة المجتمع

          تعليق

          يعمل...
          X