Серьёзный баг в ssl




На даже такому случиться!

Незыблемость старого доброго ssl покачнулась:

Технологические титаны тайно эксплуатируют дыру в ssl.

Исследователи сообщают, что обнаружена ошибка в ssl, которая позволяет злоумышленникам вставлять произвольный текст в зашифрованный трафик, проходящий между двумя точками.

Фактически, это пример атаки man-in-middle, говорит исследователь безопасности Марш Рей. Типичная ssl транзакция может быть разбита на несколько сессий, это позволяет атакующему незаметно сбросить пароли и другие команды в процессе аутенфикации.

На практике атака была продемонстрирована на примере Apache и Microsoft IIS, в процессе взаимодействия веб-серверовов с различными клиентскими приложениями. Крупнейшие технологические компании проводят совещания на эту тему с конца сентября, с целью прояснить ситуацию и исправить недостаток. Заключения экспертов ожидаются в текущий четверг на Internet Engineering Task Force (http://www.ietf.org/).

По представлениям некоторых компаний, в итоге придётся патчить каждый браузер в мире. Прогнозируется также, что уязвимость будет использоваться совместно с другими ошибками безопасности. В целом, говорят, так как ssl широко распространено в клиент-серверных технологиях, исправить ошибку везде и сразу будет тяжело. Проблема касается так же аутенфикации по сертификатам на смарт-картах и токенах. (Совсем не так давно, считалось что токен — это абсолютная степень защиты :-) )

В настоящее время, разработчики из OpenSSL и GNU TLS разработали необходимые патчи и находятся в процессе их тестирования. Другие поставщики аппаратного и программного обеспечения, которые реализуют SSL, также находятся на различных стадиях исправления. Собственно, информацию об дыре разработчики раскрывать не собирались, но так получилось что уязвимость стала известна более широкому кругу. А работы над исправлениями, были запланированы до конца этого года.

Немного путанно объясняют суть:

Уязвимость связана с возможностью обновления криптографических ключей той или иной стороной в процессе ssl-транзакции. Из-за особенностей протокола HTTP, веб-сервер, в случае смены ключей прямо во время сессии, должен использовать аутенфикационные данные предыдущей сессии.

Источник: http://www.theregister.co.uk/2009/11/05/serious_ssl_bug/

Popularity: 1%



Этот материал находится на сайте http://compiling.ru
__________________________________________



Похожие посты:


  • Microsoft использует ботнет для обнаружения багов в Office
  • Facebook заплатит больше 40 000 долларов за дыры в безопасности
  • Обновление FFmpeg исправляет дыры в безопасности
  • Разработчики Linux исправили проблемы с домашними сетями
  • Microsoft поражена еще тремя ошибками zero-day



    • Опубликовано 09 Ноя 2009 в 19:26. В рубриках: Greatest bugs. Вы можете следить за ответами к этой записи через RSS 2.0. Вы можете оставить отзыв или трекбек со своего сайта.
    «
    »

    Оставьте свой отзыв

    Партнёры:


    forum.vpnssl.ru

     Выбор решений, консультации, примеры.

    Есть вопрос! Оставь свой голос!

    Question:

    Что нужно админу для счастья?

    View Results

    Loading ... Loading ...




    Most Popular Posts



    Supported:

  • Инвариант - переводческие услуги: русско китайский бюро переводов.
  • кольца для колодца купить липецк .


    • free counters