Воскресенье, 22.10.2017
Компьютерная безопасность и новости
Форма входа
Меню сайта
Категории раздела
Компьютерные новости [936]
АнтиВирусные новости [210]
Новости о UNIX/Linux [313]
Магазин цифровых товаров

Ключи и пин-коды

Игры Кредитные карты IP-телефония Интернет провайдеры Мобильная связь Спутниковое ТВ

Электронные книги

Бизнес и экономика Дом, быт, семья, досуг Санкт-Петербург Компьютеры и интернет Наука и образование Техническая литература Юридическая литература

Цифровые товары

iTunes & App Store Базы данных Дизайн Доступ к ресурсам Kарты продления, ключи Фотографии Шаблоны для сайтов

Программное обеспечение

Безопасность Игры PC Интернет Мобильная связь Программирование Продвижение сайтов (SEO) Утилиты
Архив записей
Наши сообщества
Статистика
Рейтинг@Mail.ru

Онлайн всего: 1
Гостей: 1
Пользователей: 0

Код нашего баннера

Поиск
Главная » 2014 » Октябрь » 19 » Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle»
10:39
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle»


Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE­-2014­-3566). Уязвимость получила название «Poodle».
Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.
Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.
Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.
Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.
 
Категория: Новости о UNIX/Linux | Просмотров: 991 | Теги: Google, уязвимости, OpenSSL, безопасность, SSL | Рейтинг: 5.0/1
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright inet-safety © 2017    |    Хостинг от uCoz
Пользовательское Соглашение | Политика Конфиденциальности