TLS Renegotiation-Schwachstelle: Proof of Concept-Code

Anfang November 2009 wurde eine Sicherheitslücke im TLS-Protokoll veröffentlicht, die von Angreifern ausgenutzt werden kann, um beliebige Präfixe in TLS-gesicherte Netzwerkverbindungen einzubringen. Anhänging vom über TLS verwendeten Protokoll können dabei schwerwiegende Schwachstellen entstehen.

RedTeam Pentesting hat unter Verwendung des Python-Moduls TLS Lite Proof of Concept-Code entwickelt, der die Auswirkungen dieser Schwachstelle demonstriert. Dieser wird hier veröffentlicht, um Interessierten die Möglichkeit zu geben, auf TLS basierende Protokolle auf weitere Schwachstellen zu untersuchen.

Quelltext

• TLS Renegotiation-Schwachstelle: Proof of Concept-Code

Quellen

• Resource Center: SSL Vulnerability
• Blog von Marsh Ray, einem der Entdecker der Schwachstelle
• TLS and SSLv3 vulnerabilities explained, Thierry Zoller
• Transport Layer Security (TLS) Renegotiation Indication Extension, IETF TLS Working Group Draft, der die Schwachstelle schließen soll