Terrapin schwächt verschlüsselte SSH-Verbindungen
19. Dez. 2023, 14:34 |
0 Kommentare
Bild: Pexels
Ein Angriff kann wohl zur Verwendung weniger sicherer Authentifizierungsalgorithmen führen. Betroffen sind viele gängige SSH-Implementierungen.
Ein Forscherteam von der Ruhr Universität Bochum hat eine neue Angriffstechnik auf das SSH-Protokoll vorgestellt, durch die wohl die Integrität sicherer SSH-Verbindungen beeinträchtigt wird. Möglich werde der als Terrapin bezeichnete Angriff durch gezielte Anpassungen von Sequenznummern beim Handshake im Rahmen des Verbindungsaufbaus, erklären die Forscher in ihrem Bericht.
Dadurch könne der Angreifer einige Nachrichten entfernen, die vom Client oder Server beim Aufbau eines sicheren Kanals gesendet werden, ohne dass die Teilnehmer dies bemerkten. Dazu zähle auch eine Nachricht für die Extension-Negotiation (RFC8308).
Diese zu entfernen, könne beispielsweise einen Fallback zu weniger sicheren Client-Authentifizierungsalgorithmen zur Folge haben und bestimmte Abhilfemaßnahmen gegen Keystroke-Timing-Angriffe in OpenSSH 9.5 außer Kraft setzen.
Mehr dazu findest Du auf golem.de
Kurze URL:
Ähnliche News:
Weitere News:
James Webb: Stärkster Hinweis auf außerirdische Aktivitäten entdeckt
Copilot Vision in Edge: Microsofts KI kann jetzt den Inhalt von Webseiten sehen
Synology: Bald nur zertifizierte Festplatten für neue Plus-Modelle zugelassen
Neue Exportlizenzen für KI-Chips belasten Nvidia und AMD
Google dreht Support für Smartphones mit Android 12 ab
KI-Training von Meta: Widerspruch bei Facebook und Instagram noch möglich
Nur noch 47 Tage: Gültigkeit von TLS-Zertifikaten wird drastisch verkürzt
E-Mail frisst Akku: Tippen in Outlook führt zu hoher CPU-Last
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet
4chan nach Hackerangriff offline
Copilot Vision in Edge: Microsofts KI kann jetzt den Inhalt von Webseiten sehen
Synology: Bald nur zertifizierte Festplatten für neue Plus-Modelle zugelassen
Neue Exportlizenzen für KI-Chips belasten Nvidia und AMD
Google dreht Support für Smartphones mit Android 12 ab
KI-Training von Meta: Widerspruch bei Facebook und Instagram noch möglich
Nur noch 47 Tage: Gültigkeit von TLS-Zertifikaten wird drastisch verkürzt
E-Mail frisst Akku: Tippen in Outlook führt zu hoher CPU-Last
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet
4chan nach Hackerangriff offline
Einen Kommentar schreiben
Kommentare
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
(0)
Bitte bleibe sachlich und fair in deinen Äußerungen. Sollte dein Kommentar nicht sofort erscheinen, ist er in der Warteschlange gelandet und wird meist zeitnah freigeschaltet.
Kommentare:
Du hast bereits für diesen
Kommentar abgestimmt...
;-)
© by Ress Design Group, 2001 - 2025
