Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2
1
Иллюстрация с сайта flickr.com
8 декабря стало известно: уязвимость в SSL 3.0, обнаруженная два месяца и известная как Poodle, затрагивает TLS. Эксплуатируя уязвимость, можно многократно атаковать TLS.
В середине октября была опубликована информация о серьёзной уязвимости в протоколе SSL 3.0. Напоминаем, что SSL 3.0 не требует определённого формата у дополнения (padding), исключая последний байт и длину, и подставляет себя под активные сетевые атаки. Несмотря на то что TLS строго относится к форматированию дополнения, некоторые из реализаций пропускают это шаг и проверяют структуру дополнения уже после расшифровки. Эти реализации уязвимы к Poodle даже с TLS.
Это облегчает исполнение атаки: больше не надо понижать современные клиенты до SSL 3.0, вполне подойдёт TLS 1.2. Основная цель — браузеры, потому что злоумышленник должен внедрить JavaScript для начала атаки. Успешная атака использует примерно 256 запросов, чтобы получить один символ из куки или всего 4096 запросов для 16-символьного куки. Это делает атаку довольно реальной.
По данным сканера SSL Pulse, уязвимости POODLE против TLS (CVE-2014-8730) подвержено порядка 10 % серверов. Дополнительную информацию можно найти в блоге Адама Лэнгли (Adam Langley) из Google, обнаружившего уязвимость.
Постоянная ссылка к новости: http://www.nixp.ru/news/13014.html. Никита Лялин по материалам Community.Qualys.Com.
- Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1 16 октября 2014 г.
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Для веб-сервера Apache реализована упрощённая поддержка SSL/TLS-сертификатов Let's Encrypt
2
Уязвимостью SambaCry воспользовались для майнинга криптовалюты Monero на Linux-компьютерах
В Samba 4.4.2, 4.3.8 и 4.2.11 исправили критическую Windows-уязвимость Badlock 1
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2 1
Последние комментарии
-
fhunter, сегодня в 9:23 → Математика в школе 17
-
fhunter, сегодня в 9:22 → Как настроить чтоб работало две сетевые платы — две сети 3
-
fhunter, сегодня в 9:22 → посоветуйте!!Как ой велосипед приобрести девушке? 10
-
rgo, 11 января в 10:28 → Как «замокать» файл для юниттеста в Python? 1
-
ilyas490, 8 декабря в 13:27 → Книги по Bash? 13
