Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle»
2Иллюстрация с сайта flickr.com
Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE-2014-3566). Уязвимость получила название «Poodle».
Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.
Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.
Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.
Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.
Постоянная ссылка к новости: http://www.nixp.ru/news/12857.html. Никита Лялин по материалам Gadgets.Ndtv.Com, Google Online Security Blog.
- Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2 1 11 декабря 2014 г.
- В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160) 8 апреля 2014 г.
- В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3 5 марта 2016 г.
В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800) 3
Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n 2
Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2 1
Google откажется от использования SHA-1 для HTTPS в браузере Chrome
Компания Google анонсировала BoringSSL — собственный форк OpenSSL 2
В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160)
Последние комментарии
- OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Великий сезон уязвимостей… Хоть не опенсорс-реализация на сей раз виновата ;))