Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny.

20160321-software_bug

Podatność została natychmiast usunięta.

[Aktualizacja 24.03.2016]

StartSSL wyjaśnia dlaczego odkrywcy podatności udało się uzyskać certyfikat dla wybranej do demonstracji domeny.

Podziel się:Share on Facebook
Facebook
0Tweet about this on Twitter
Twitter

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *