Recentemente è stata scoperta la CCS Injection in OpenSSL (CVE-2014-0224) link . Permette agli aggressori man-in-the-middle di sequestrare conseguentemente le sessioni o ottenere informazioni sensibili.
È fondamentale?
È richiesto l'aggiornamento immediato di OpenSSL?
In che modo è rischioso correlato a OpenSSL Heartbleed (CVE-2014-0160)?
CCS Injection richiede un aggressore attivo, ma consente a un utente malintenzionato attivo di eseguire il downgrade della connessione a una chiave prevedibile, in modo che l'utente malintenzionato possa quindi leggere tutto il traffico che viene passato. Richiede che entrambi gli endpoint siano vulnerabili, quindi non quasi tutti gli utenti dovrebbero essere colpiti come lo erano per il heartbleed. Detto questo, un attaccante attivo può recuperare il 100% del traffico dalle sessioni che sono in grado di MITM.
Quindi meno utenti a rischio, più difficile da eseguire l'attacco, ma quando eseguito, probabilmente molto peggio (recupero della sessione del 100%). Vorrei aggiornare immediatamente.
@david è corretto che un utente malintenzionato deve essere privilegiato: si tratta di un attacco MITM. C'è un altro dettaglio importante: entrambi gli utenti (server e client) devono utilizzare una versione vulnerabile di OpenSSL. Per il web, mentre molti server usano OpenSSL, nessuno dei client più popolari lo fa. Nessuno di Chrome, IE, Safari, Firefox o Opera sul desktop usa OpenSSL. Vedi Quali browser utilizzano openssl
Leggi altre domande sui tag openssl exploit heartbleed