امروز خبری توسط CloudFlare منتشر شد که بیان میکنه روز پیش گروهان مختلف پژوهشی شامل بنیاد ماکروسافت، بنیاد ایرنیا، دانشگاههای میشیگان، پنسیلوانیا و جانز هاپکینز یک آسیبپذیری پیدا کردن که اسمش رو گذاشتن لاگجَم که من آببست ترجمه کردم چون «Logjam» بهمعنی بستهشدن رود توسط تودهای از چوب هست.
خلاصهٔ ارتباط تیاسال به این صورته که میون کلاینت و سرور، کلاینت یکسری «cipher suite» که ازشون پشتیبانی میکنه رو برای سرور میفرسته و سرور یکی رو انتخاب میکنه. در پایان مرحلهٔ «handshaking» پیام انجامشده توسط رمزنگاریای که قبلاً برسر استفادهاش توافقشده تبادل، رمزی و حفاظت میشه و محتویات این پیام هش تمام پیامهای قبلی مبادلهشده در handshaking بهحساب میاد. (خیلی سعی کردم ساده بگم چون بیشتر مفاهیم به فارسی ترجمه نشده بود).
ایدهٔ اصلی این آسیبپذیری اینه که یک مهاجم فعال (مرد میانی) سعی میکنه مجموعه «cipher suite» فرستادهشده توسط کلاینت رو دستکاری کنه تا تمام «crypto suite»های قدرتمند رو از بین ببره و فقط اونهایی که خیلی ضعیف هستند و هر دو طرف (کلاینت و سرور) هم ازشون پشتیبانی میکنن نگه میداره و پیام انجامشده رو میشکنه و لایه پنهانی رو باز میکنه و بعد دوباره پیام رو در یک بازهٔ زمانی کوتاه درست و به نفع خودش تغییر میده. (دوستان اگر خطایی در توضیح وجود داشت من رو آگاه کنند)
نکته: اگر از فایرفاکس استفاده میکنید about:config رو تایپ و dhe رو جستجو کنید و تمام گزینههایی که ابتداشون security.ssl3 نوشتهشده رو برابر false بذارید.
منابع:
http://tools.ietf.org/html/rfc5246https://blog.cloudflare.com/logjam-the-latest-tls-vulnerability-explained/http://security.stackexchange.com/questions/89689/what-is-logjam-and-how-do-i-prevent-it
موضوع: آببست/لاگجَم: تازهترین آسیبپذیری تیاسال (دفعات بازدید: 1299 بار)
