В протоколах SSL и TLS найдены уязвимости

Александр Панасенко 10 Февраля 2010 - 14:49

...

Корпорация Microsoft сегодня выпустила бюллетень безопасности Security Advisory 977377, где говорится об обнаружении уязвимостей в протоколах Transport Layer Security (TLS) и Secure Sockets Layer (SSL). Протоколы TLS и SSL используются в нескольких продуктах Microsoft как серверной, так и клиентской направленности. В Microsoft говорят, что уязвимость охватывает все поддерживаемые на сегодня версии Windows: Windows 2000 SP4, Windows XP (32-bit и 64-bit), Windows Server 2003 (32-bit и 64-bit), Windows Vista (32-bit и 64-bit), Windows Server 2008 (32-bit и 64-bit), Windows 7 (32-bit и 64-bit), а также Windows Server 2008 R2.

В компании говорят, что вчера был выпущен традиционный ежемесячный набор исправлений, в рамках которого были закрыты 26 уязвимостей, так вот новые уязвимости в данном наборе не устранены. По заявлению Microsoft, софтверный гигант пока лишь расследует уязвимости с SSL и TLS. Также в Microsoft заявляют, что проблема касается на какой-то специализированной реализации этих протоколов, применяемой в Microsoft, а касается общей архитектуры SSL и TLS, а потому затрагивает многих других производителей софта.

Сегодня же инженеры из Microsoft должны будут оповестить о проблеме и консорциум ICASI (Internet Consortium for Advancement of Security on the Internet), координирующий соответствующие разработки. Согласно данным заявления Microsoft, пока в интернете на зафиксировано случаев эксплуатации найденных уязвимостей, однако технические службы занимаются мониторингом ситуации.

В том случае, если работы компаний по исправлению уязвимостей не затянутся, то у Microsoft соответствующий патч выйдет 9 марта.

Как пояснили в Microsoft, пользователи в стандартной конфигурации IIS 6.0 не подвержены уязвимости, так как здесь по умолчанию не используются данные методы аутентификации. Что касается настольных продуктов Microsoft, то здесь возможен взлом данных, но лишь в том случае, если у злоумышленника есть возможность прослушки всего трафика пользователя.

Источник

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Мая 2026 - 07:55

Уязвимости сайтов Уязвимости программ Домашние пользователи Корпорации

Миллионы серверов под угрозой: в NGINX обнаружили опасную уязвимость

В NGINX обнаружили новую 0-day уязвимость под названием nginx-poolslip. По предварительным данным, баг может позволить удалённо выполнять код на уязвимых серверах без аутентификации. Проблема затрагивает NGINX 1.31.0 — актуальную стабильную версию популярного веб-сервера.

Уязвимость обнаружил исследователь Vega из команды NebSec, публично о ней сообщили 21 мая 2026 года.

Согласно описанию, nginx-poolslip связана с внутренним механизмом управления памятью NGINX. Самое неприятное — заявлена возможность обхода ASLR, одной из базовых защит от эксплуатации ошибок памяти. Если обход действительно работает стабильно, это резко повышает шансы атакующего не просто уронить сервер, а выполнить свой код.

История выглядит особенно неприятно на фоне недавней уязвимости CVE-2026-42945 в ngx_http_rewrite_module, которую уже закрывали в версиях 1.31.0 и 1.30.1. Но, по данным NebSec, предыдущий патч не убрал саму поверхность атаки, а nginx-poolslip позволяет обойти прежние меры защиты.

На момент публикации у nginx-poolslip ещё нет идентификатора, а F5 и проект NGINX не выпустили официальный патч. NebSec заявляет, что следует процедуре ответственного раскрытия и опубликует технические детали только после появления патча.

Пока заплатки нет, администраторам советуют снижать риски вручную: следить за бюллетенями F5 и NebSec, ограничить доступ к административным интерфейсам, использовать WAF-правила, проверить включение ASLR, а также внимательно пересмотреть конфигурации с rewrite, if и set.

Масштаб проблемы серьёзный, NGINX используется как веб-сервер, обратный прокси, балансировщик и API-шлюз на огромном числе площадок.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!