بررسی تخصصی

مطالب پربازدید

1405/02/02 - 13:10- بررسی تخصصی

بازار سیاه فیلترشکن در زمان قطع اینترنت؛ از قیمت‌های میلیونی تا موج گسترده کلاهبرداری

مقاله ای از کارشناس سایبری مهیار خدادادی پیرامون مسئله فیلتر شکن ها در زمان قطعی اینترنت بین المللی

1405/01/10 - 16:13- جنگ سایبری

بزرگ‌ترین حمله سایبری به شرکت‌های نفتی امارات

شرکت های نفتی امارات مورد حمله سایبری گروه هکری نصیر قرار گرفت

1405/02/01 - 15:13- ایران

در غم از دست دادن پدر امت به سوگ نشسته ایم

انتشار شده در تاریخ 1396/09/17 - 17:20

آسیب‌پذیری احراز هویت در رمزنگاری آر.اِس.اِی

رمزنگاری آر.اِس.اِی در بسته‌ی توسعه نرم‌افزاری احراز هویت، دارای دو آسیب‌پذیری خطرناک است.

به گزارش کارگروه امنیت سایبربان، در بسته توسعه نرم‌افزاری (SDK) رمزنگاری آر.اِس.اِی (RSA) دو آسیب‌پذیری خطرناک عبور از احراز هویت وجود دارد.

اولین آسیب‌پذیری با کد CVE-2017-14377 شناخته می‌شود که از نوع دور زدن احراز هویت است. این حفره امنیتی در عامل (Agent) احراز هویت آر.اِس.اِی وجود داشته و سرورهای آپاچی را تحت تأثیر خود قرار داده است. مهاجم با استفاده از این آسیب‌پذیری می‌تواند از راه دور و بدون احراز هویت و تنها با ارسال ترافیک مخرب خود به سامانه قربانی دسترسی داشته باشد.

این آسیب‌پذیری به دلیل عدم اعتبارسنجی داده‌های ورودی، وجود دارد و پیاده‌سازی تی.سی.پی (TCP) آر.اِس.اِی را تحت تأثیر قرار داده است و پروتکل یو.دی.پی (UDP) آن امن است.

Paragraphs

آسیب‌پذیری احراز هویت در رمزنگاری آر.اِس.اِی

آسیب‌پذیری دوم با کد CVE-2017-14378 شناخته می‌شود و دربسته‌ی توسعه نرم‌افزاری برای زبان سی، وجود دارد؛ بدین ترتیب هر سامانه‌ای که از این اس.دی.کِی استفاده کرده است، این آسیب‌پذیری را به ارث (inherit) برده است. البته این آسیب‌پذیری در پیاده‌سازی بسته توسعه نرم‌افزاری به زبان جاوا وجود ندارد.

در اس.دی.کِی به شماره‌های 8.5 و 8.6، حفره امنیتی در بخش مدیریت خطا (Error Handling) وجود دارد که همین عامل دور زدن احراز هویت است. هر دو آسیب‌پذیری اس.دی.کِی هم‌اکنون وصله شده‌اند.