THC släpper SSL-DOS, utnyttjar svaghet i renegotiation.

Gruppen THC, The Hackers Choice, släpper SSL-DOS. Ett litet program som ska kunna DoS:a vissa servrar som använder renegotiation i SSL key agreement processen. Har inte provat det ännu, men ska nog kicka igång nån virtuell maskin till helgen. Dom hävdar att säkerhetsluckan funnits där i 10 år och att dom nu beslöt sej för att släppa DOS programmet.

Press release: http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/

Ladda hem: http://www.thc.org/thc-ssl-dos/

Testade som snabbast i min labbmiljö för ett par dagar sedan, varken standard Windows Server 2008 R2 eller Ubuntu Server 10.04 och senare var påverkade.

Det finns säkert implementationer där ute som är sårbara men jag har svårt att känna att detta kommer bli ett större problem.

// rancor

THC tipsar juh själva om hur du kan ändra koden för att få thc-ssl-dos att fungera bättre mot webfrontar som har åtgärdat renegotiation buggen.
Från http://www.thc.org/thc-ssl-dos/:
The tool can be modified to work
without SSL-RENEGOTIATION by just establishing a new TCP connection for every
new handshake.