nga korero mo te mea hou (CVE-2020-1968) i roto i te kawa TLS, kua whakaingoatia
me te tuku, i roto i nga ahuatanga onge, ki te whakatau i tetahi matua matua tuatahi (i mua i te rangatira), ka taea te whakamahi ki te wetewete i nga hononga TLS, tae atu ki te HTTPS, ina haukoti i nga waka whakawhiti (MITM). Kei te tohuhia ko te whakaeke he tino uaua mo te whakatinanatanga mahi me te ahua o te kaupapa. Hei whakatutuki i te whakaeke, ka hiahiatia he whirihoranga motuhake o te tūmau TLS me te kaha ki te ine tika i te wa tukatuka tūmau.
Ko te raruraru kei roto tika i te tohu TLS ka pa ana ki nga hononga ma te whakamahi ciphers i runga i te kawa whakawhiti matua DH (Diffie-Hellman, TLS_DH_*"). Ki nga ciphers ECDH kare e puta te raru ka noho haumaru. Ko nga kawa TLS anake tae noa ki te putanga 1.2 he whakaraerae; TLS 1.3 kaore e pa ki te raru. Ka puta te whakaraeraetanga i roto i nga whakatinanatanga TLS ka whakamahi ano i te ki huna DH puta noa i nga hononga TLS rereke (ka puta tenei whanonga i runga i te 4.4% o nga kaiwhakarato Alexa Top 1M).
I roto i te OpenSSL 1.0.2e me nga putanga o mua, ka whakamahia ano te matua matua DH i roto i nga hononga tūmau katoa ki te kore e tautuhia te whiringa SSL_OP_SINGLE_DH_USE. Mai i te OpenSSL 1.0.2f, ka whakamahia ano te taviri tuatahi DH ina whakamahi ana i nga ciphers DH pateko ("DH-*", hei tauira "DH-RSA-AES256-SHA"). Ko te whakaraeraetanga karekau e puta ki OpenSSL 1.1.1, na te mea kaore tenei peka e whakamahi i te matua matua DH, kaore hoki e whakamahi i nga ciphers DH pateko.
I te whakamahi i te tikanga whakawhiti matua DH, ko nga taha e rua o te hononga ka whakaputa i nga taviri motuhake matapōkere (i muri nei te matua "a" me te matua "b"), i runga i nga taviri whanui (ga mod p me gb mod p) ka tatauhia ka tukuna. I muri i te whiwhinga o ia roopu ki nga taviri a te iwi, ka tatauhia he matua matua noa (gab mod p), ka whakamahia hei whakaputa i nga taviri waahi. Ko te whakaeke Raccoon ka taea e koe te whakatau i te matua matua na roto i te tātaritanga hongere-taha, i runga i te meka ko nga whakaritenga TLS tae atu ki te putanga 1.2 e kii ana me whakakorehia nga paita matua katoa o te matua matua i mua i nga tatauranga e pa ana.
Kei roto ko te matua matua kua poroa ka tukuna ki te mahi whakangao matua hui, e ahu mai ana i runga i nga mahi Hash me nga momo whakaroa i te wa e tukatuka ana i nga raraunga rereke. Ma te ine tika i te wa o nga mahi matua e mahia ana e te tūmau ka taea e te kaitukino te whakatau i nga tohu (oracle) e taea ai te whakatau mena ka tiimata te kii tuatahi mai i te pakaru, kaore ranei. Hei tauira, ka taea e te tangata whakaeke te haukoti i te taviri tūmatanui (ga) i tukuna e te kiritaki, ka tukuna ano ki te tūmau ka whakatau
ahakoa ka timata mai i te kore te kii matua ka puta.
Ko te tautuhi i tetahi paita o te matua kaore he mea, engari ma te haukoti i te uara "ga" i tukuna e te kiritaki i te wa o te whiriwhiringa hononga, ka taea e te kaiwhaiwhai te whakaputa i etahi atu uara e hono ana ki te "ga" ka tukuna atu ki te tūmau i roto i nga huihuinga whiriwhiringa hononga motuhake. Ma te whakaputa me te tuku uara "gri*ga", ka taea e te kaitukino, ma te tātari i nga huringa o te whakaroa i te whakautu a te tūmau, ki te whakatau i nga uara e arahi ana ki te whiwhi i nga kii matua mai i te kore. I te whakatau i nga uara penei, ka taea e te kaitukino te hanga huinga wharite mo ka tātaihia te kī matua taketake.
Nga whakaraeraetanga OpenSSL taumata iti o te kino, me te whakatika i whakaitihia ki te neke i nga ciphers raruraru "TLS_DH_*" i roto i te tuku 1.0.2w ki te waahanga o nga ciphers he iti rawa te taumata o te whakamarumaru ("ngoikore-ssl-ciphers"), kua whakakorehia e te taunoa. . He rite ano nga mahi a nga kaihanga Mozilla, i roto i te whare pukapuka NSS e whakamahia ana i Firefox, nga huinga cipher DH me DHE. I te Firefox 78, kua monokia nga ciphers raruraru. I whakamutua te tautoko Chrome mo DH i te tau 2016. Ko nga whare pukapuka BearSSL, BoringSSL, Botan, Mbed TLS me s2n kaore e pa ki te raru na te mea kaore ratou i te tautoko i nga DH ciphers, i nga momo rereke ranei o nga DH ciphers.
Ko etahi atu raruraru ka tuhia motuhake () i roto i te puranga TLS o nga taputapu F5 BIG-IP, kia tino tika te whakaeke. Ina koa, kua kitea nga rereke o te whanonga o nga taputapu i te aroaro o te paita kore i te timatanga o te matua matua, ka taea te whakamahi hei utu mo te ine i te roanga o nga tatauranga.
Source: opennet.ru