انجمن‌های فارسی اوبونتو

لطفاً به انجمن‌ها وارد شده و یا جهت ورود ثبت‌نام نمائید

لطفاً جهت ورود نام کاربری و رمز عبورتان را وارد نمائید


ارائه ۲۴٫۱۰ اوبونتو منتشر شد 🎉

نویسنده موضوع: آب‌بست/لاگ‌جَم:‌ تازه‌ترین آسیب‌پذیری تی‌اس‌ال  (دفعات بازدید: 1298 بار)

0 کاربر و 1 مهمان درحال مشاهده موضوع.

آفلاین 藤沼

  • Sr. Member
  • *
  • ارسال: 414
  • جنسیت : پسر

امروز خبری توسط CloudFlare منتشر شد که بیان می‌کنه روز پیش گروهان مختلف پژوهشی شامل بنیاد ماکروسافت، بنیاد ایرنیا، دانشگاه‌های میشیگان، پنسیلوانیا و جانز هاپکینز یک آسیب‌پذیری پیدا کردن که اسمش رو گذاشتن لاگ‌جَم که من آب‌بست ترجمه‌ کردم چون «Logjam» به‌معنی بسته‌شدن رود توسط توده‌ای از چوب هست.
خلاصهٔ ارتباط تی‌اس‌ال به این صورته که میون کلاینت و سرور، کلاینت یکسری «cipher suite» که ازشون پشتیبانی می‌کنه رو برای سرور می‌فرسته و سرور یکی رو انتخاب می‌کنه. در پایان مرحلهٔ «handshaking» پیام انجام‌شده توسط رمزنگاری‌ای که قبلاً برسر استفاده‌اش توافق‌شده تبادل،‌ رمزی و حفاظت‌ می‌شه و محتویات این پیام‌ هش تمام پیام‌های قبلی مبادله‌شده در handshaking به‌حساب میاد. (خیلی سعی کردم ساده بگم چون بیشتر مفاهیم به فارسی ترجمه نشده بود).
ایدهٔ اصلی این آسیب‌پذیری اینه که یک مهاجم فعال (مرد میانی) سعی می‌کنه مجموعه «cipher suite» فرستاده‌شده توسط کلاینت رو دستکاری کنه تا تمام «crypto suite»های قدرتمند رو از بین ببره و فقط اون‌هایی که خیلی ضعیف هستند و هر دو طرف (کلاینت و سرور) هم ازشون پشتیبانی می‌کنن نگه می‌داره و پیام‌ انجام‌شده رو می‌شکنه و لایه پنهانی رو باز می‌کنه و بعد دوباره پیام‌ رو در یک بازهٔ زمانی کوتاه درست و به نفع خودش تغییر می‌ده. (دوستان اگر خطایی در توضیح وجود داشت من رو آگاه کنند)
نکته: اگر از فایرفاکس استفاده می‌کنید about:config رو تایپ و dhe رو جستجو کنید و تمام گزینه‌هایی که ابتداشون security.ssl3 نوشته‌شده رو برابر false بذارید.

منابع:
http://tools.ietf.org/html/rfc5246
https://blog.cloudflare.com/logjam-the-latest-tls-vulnerability-explained/
http://security.stackexchange.com/questions/89689/what-is-logjam-and-how-do-i-prevent-it
« آخرین ویرایش: 01 خرداد 1394، 08:43 ب‌ظ توسط نوید راد »