Datenbank mit SSL Private Keys veröffentlicht

speaker — Tue, 21 Dec 2010 06:34:57 +0000

Wie man auf /. lesen kann, ist ein Projekt mit dem Namen LittleBlackBox gestartet, das eine Datenbank mit bekannten SSL Private Keys von Embedded Devices wie beispielsweise Routern zur Verfügung stellt. Da in viele Firmwares diese privaten Schlüssel hardcodet werden, benötigt ein Angreifer lediglich Kenntnis über Hersteller, Modell und Firmware-Version des Geräts, um nun mithilfe des Projekts SSL-Traffic belauschen zu können.

LittleBlackBox bietet die Möglichkeit, anhand eines Public-Key-Zertifikats den entsprechenden privaten Schlüssel in einer Datenbank, die mittlerweile mehr als 2000 Schlüssel umfaßt, nachzuschlagen. Als Input können dabei dienen:

Pfad zum Zertifikat
SHA1-Hash des Zertifikats
Hostname des Geräts, von dem dann das Zertifikat geholt wird
pcap-Datei, die auf Zertifikatsübertragungen durchsucht wird
Netzwerk-Interface, auf dem nach Zertifikatsübertragungen gelauscht wird

Hier geht’s zum dazugehörigen Blog-Eintrag.

Expl0ited: FireStats (WP Plugin)

speaker — Mon, 15 Jun 2009 15:58:34 +0000

Für das Web-Statistik-System FireStats, das unter anderem auch als WordPress Plugin verwendet werden kann, gibt es seit Samstag ein Security Fix Release, das zwei Schwachstellen (Remote File Inclusion, SQL Injection) schließt.

(Exploit)

PHUTiLiTY » Expl0ited

Datenbank mit SSL Private Keys veröffentlicht

Expl0ited: FireStats (WP Plugin)