Четверг, 23 ноября 2017 16 +   Подписка на обновления  RSS  Письмо редактору
Популярно
Обнаружена новая опасная уязвимость в OpenSSL
3:35, 09 ноября 2015

Обнаружена новая опасная уязвимость в OpenSSL


Новая обнаруженная в протоколе OpenSSL уязвимость позволяет перехватывать и расшифровывать данные, пересылаемые по интернету. Новая ошибка обнаружена спустя всего 2 месяца после нашумевшего бага Heartbleed.

Организация OpenSSL Foundation обнародовала информацию о новой уязвимости (CVE-2014-0224) в протоколе шифрования OpenSSL, позволяющей успешно проводить атаки типа «человек посередине» (Man-in-the-Middle) — перехватывать данные на отрезке между клиентом и сервером, расшифровывать и читать их.

Для проведения атаки нужно, чтобы и клиент, и сервер использовали версию OpenSSL, в которой содержится уязвимость. На стороне клиента она содержится во всех версиях OpenSSL, на стороне сервера — в версиях OpenSSL 1.0.1 и 1.0.2-beta1. Брешь была обнаружена Масаси Кикути (Masashi Kikuchi) из компании Lepidum.

Он же предложил патч для устранения проблемы. OpenSSL Foundation выпустила собственный патч на основе кода исследователя. «Проблема заключается в том, что во время «рукопожатия» OpenSSL некорректно принимает сообщение ChangeCipherSpec (CCS).

Причем этот баг присутствует с самой первой версии OpenSSL», — рассказал Кикути на сайте Lepidum. Эксперт предположил, что уязвимость не могли обнаружить в течение более 16 лет просто потому, что люди, выполняющие проверку, не обладают достаточным уровнем квалификации.

Новая уязвимость была обнаружена спустя 2 месяца после нахождения опасного бага, получившего название Heartbleed, также позволяющего получать доступ к зашифрованным с помощью OpenSSL данным.

Об авторе: profiremont


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

© 2017 Информационно новостные статьи