Greška u StarSSL-u

Popularni certificate authority (CA) StarCom je otklonio bezbjednosni propustu procesu validacije domena. Propust bi u slučaju eksploatacije omogućio napadačima da izdaju certifikat za domene koji nisu u njihovom posjedu.  

StarCom je šesti po veličini CA u svjetu. Svojim korisnicima nude i besplatne certifikate pod nazivom StarSSL. Validacija StarSSL certifikata se može izvšiti korišćenjem emaila ili domena.  

Istraživači su otkrili propust u procesu validacije koji omogućava manipulaciju parametrima validacije, preko kojih su istraživači došli u posjed certifikata koji ne pripada njihovom domenu.  

StarSSL je otkolnio ovaj propust par sati nakon prijave i nema trenutno nema podataka o eksploataciji.  

 

 

                                                                                                                                                                       

Izvor:www.securityweek.com