forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость, компрометирующая шифрование в различных реализац..."
Отправлено opennews, 24-Июл-18 23:24

Группа Bluetooth SIG объявила (https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig...) об обновлении спецификаций, в связи с выявлением уязвимости (https://www.kb.cert.org/vuls/id/304725) (CVE-2018-5383), затрагивающей различие реализации технологии беспроводной связи Bluetooth и позволяющей полностью контролировать обмен данных между устройствами, несмотря на применение шифрования.
Проблема вызвана отсутствием проверки параметров эллиптической кривой, используемых для генерации открытых ключей в процессе обмена ключами с использованием алгоритма Диффи—Хеллмана (ECDH), что позволяет постороннему атакующему, находящемуся в радиусе приема сигнала, осуществить подстановку некорректного открытого ключа в процессе сопряжения Bluetooth-устройств и с высокой вероятностью определить сессионный ключ, применяемый для шифрования канала связи. Получив ключ атакующий может перехватывать, расшифровывать и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами (если уязвимо лишь одно из связываемых устройств, атака не может быть проведена).

Уязвимость присутствует в прошивках и драйверах от различных производителей, включая Apple, Broadcom, QUALCOMM и Intel (в том числе уязвимы (https://www.intel.com/content/www/us/en/security-center/advi...) драйверы для Linux). Причиной появления уязвимости является наличие в спецификации Bluetooth лишь необязательных рекомендаций по проверки открытых ключей при сопряжении устройств в режимах Bluetooth Secure Simple Pairing и Bluetooth LE Secure Connections. В настоящее время группа Bluetooth SIG уже внесла исправления (https://www.bluetooth.com/specifications/errata) в спецификацию и перевела процедуру проверки любых открытых ключей в разряд обязательных, а также добавила в сертификационные тесты проверки соблюдения нового требования.

URL: https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49018

Исходное сообщение
"Уязвимость, компрометирующая шифрование в различных реализац..." Отправлено opennews, 24-Июл-18 23:24
Группа Bluetooth SIG объявила (https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig...) об обновлении спецификаций, в связи с выявлением уязвимости (https://www.kb.cert.org/vuls/id/304725) (CVE-2018-5383), затрагивающей различие реализации технологии беспроводной связи Bluetooth и позволяющей полностью контролировать обмен данных между устройствами, несмотря на применение шифрования. Проблема вызвана отсутствием проверки параметров эллиптической кривой, используемых для генерации открытых ключей в процессе обмена ключами с использованием алгоритма Диффи—Хеллмана (ECDH), что позволяет постороннему атакующему, находящемуся в радиусе приема сигнала, осуществить подстановку некорректного открытого ключа в процессе сопряжения Bluetooth-устройств и с высокой вероятностью определить сессионный ключ, применяемый для шифрования канала связи. Получив ключ атакующий может перехватывать, расшифровывать и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами (если уязвимо лишь одно из связываемых устройств, атака не может быть проведена). Уязвимость присутствует в прошивках и драйверах от различных производителей, включая Apple, Broadcom, QUALCOMM и Intel (в том числе уязвимы (https://www.intel.com/content/www/us/en/security-center/advi...) драйверы для Linux). Причиной появления уязвимости является наличие в спецификации Bluetooth лишь необязательных рекомендаций по проверки открытых ключей при сопряжении устройств в режимах Bluetooth Secure Simple Pairing и Bluetooth LE Secure Connections. В настоящее время группа Bluetooth SIG уже внесла исправления (https://www.bluetooth.com/specifications/errata) в спецификацию и перевела процедуру проверки любых открытых ключей в разряд обязательных, а также добавила в сертификационные тесты проверки соблюдения нового требования. URL: https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig... Новость: https://www.opennet.ru/opennews/art.shtml?num=49018

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Группа Bluetooth SIG объявила (https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update) 
> об обновлении спецификаций, в связи с выявлением уязвимости (https://www.kb.cert.org/vuls/id/304725) 
> (CVE-2018-5383), затрагивающей различие реализации технологии беспроводной связи Bluetooth 
> и позволяющей полностью контролировать обмен данных между устройствами, несмотря на применение 
> шифрования.

> Проблема вызвана отсутствием проверки параметров эллиптической кривой, используемых 
> для генерации открытых ключей в процессе обмена ключами с использованием алгоритма 
> Диффи—Хеллмана (ECDH),  что позволяет постороннему атакующему, находящемуся в радиусе 
> приема сигнала, осуществить подстановку некорректного открытого ключа в процессе сопряжения 
> Bluetooth-устройств и с высокой вероятностью определить сессионный ключ, применяемый 
> для шифрования канала связи. Получив ключ атакующий может  перехватывать, расшифровывать 
> и вносить изменения в Bluetooth-трафик между двумя уязвимыми устройствами (если уязвимо 
> лишь одно из связываемых устройств, атака не может быть проведена).

> Уязвимость присутствует в прошивках и драйверах от различных производителей, включая  Apple, 
> Broadcom, QUALCOMM и Intel (в том числе уязвимы (https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00128.html) 
> драйверы для Linux). Причиной появления уязвимости является наличие в спецификации Bluetooth 
> лишь необязательных рекомендаций по проверки открытых ключей при сопряжении устройств 
> в режимах Bluetooth Secure Simple Pairing и Bluetooth LE Secure Connections. 
> В настоящее время группа Bluetooth SIG уже внесла исправления (https://www.bluetooth.com/specifications/errata) 
> в спецификацию и перевела процедуру проверки любых открытых ключей в разряд 
> обязательных, а также добавила в сертификационные тесты проверки соблюдения нового требования.

> URL: https://www.bluetooth.com/news/unknown/2018/07/bluetooth-sig-security-update 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=49018

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру