Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle»

Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE­-2014­-3566). Уязвимость получила название «Poodle».

Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.

Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.

Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.

Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.

Постоянная ссылка к новости: http://www.nixp.ru/news/12857.html. Никита Лялин по материалам Gadgets.Ndtv.Com, Google Online Security Blog.