• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Критическая уязвимость в OpenSSL - возможен пиздец )


Denis27

Уважаемый пользователь
Форумчанин
Регистрация
04.03.2014
Сообщения
702
Репутация
1 168
В широко используемом криптографическом протоколе SSL найдена опасная уязвимость
Encryption-1280x720.jpg

Команда из трех исследователей Google обнаружила неприятную уязвимость в популярном криптографическом протоколе, которая вызвала широкий резонанс среди большинства пользователей интернета, поспешно проводящих оценку безопасности собственных систем.
В опубликованном исследователями Google описывается новый способ атаки под названием POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяющий обойти механизмы защиты на базе криптографического протокола SSL (да-да, этот же протокол фигурировал ранее в этом году, когда была найдена ). Эта ошибка, которая также известна как «Poodlebleed», не столь опасна и всеобъемлющая, как Heartbleed, но все же сумела посеять панику в сообществе исследователей.
Различные интернет-площадки все активнее внедряют шифрование для защиты важных данных пользователей. Подобные средства защиты существенно усложняют злоумышленникам задачу по перехвату информации, передаваемой по каналам связи. К ним можно отнести криптографические протоколы SSL и TLS, широко используемые для защиты информации, передаваемой между клиентом и сервером. О поддержке тем или иным веб-сайтом защищенного соединения SSL говорит иконка в виде замка зеленого цвета наряду с упоминанием протокола HTTPS в URL ресурса. В случае компрометации SSL перед опытным злоумышленником открывается целый вектор для атаки, которую можно осуществлять из любой точки сети.
В предоставленном исследователями Google отчете данная уязвимость расписана в деталях, что обеспечивает системным администраторам преимущество в поисках решения проблемы, а потенциальным злоумышленникам – показывает все способы использования уязвимости на свой лад.
Стоит отметить, что POODLE имеет отношение к SSL версии 3.0, которая была заменена 15 лет назад. Тем не менее, эта версия протокола до сих пор поддерживается многими системами и может быть активирована при определенных обстоятельствах. В этой связи исследователи призывают системных администраторов отказаться от поддержки SSL 3.0, чтобы предотвратить возможность совершения POODLE-атаки.

«Если обе стороны поддерживают только SSL 3.0, то в таком случае надежды на предотвращение атаки нет» – говорится в отчете. – «Требуется серьезное обновление, чтобы исключить незащищенное соединение».
Больше подробностей об уязвимости можно найти в .

Источник:
 
Верх Низ