19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22

...

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5	BIG-IP SSL vulnerability	CVE-2017-6168
Citrix	TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway	CVE-2017-17382
Radware	Security Advisory: Adaptive chosen-ciphertext attack vulnerability	CVE-2017-17427
Cisco ACE	End-of-Sale and End-of-Life	CVE-2017-17428
Bouncy Castle	Fix in 1.59 beta 9, Patch / Commit	CVE-2017-13098
Erlang	OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7	CVE-2017-1000385
WolfSSL	Github PR / patch	CVE-2017-13099
MatrixSSL	Changes in 3.8.3	CVE-2016-6883
Java / JSSE	Oracle Critical Patch Update Advisory – October 2012	CVE-2012-5081

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 17 Июля 2025 - 19:15

Соответствие законодательству РФ Домашние пользователи Государство

Минцифры предлагает предоставлять отсрочки ИТ-специалистам без дипломов

Минцифры предложило расширить перечень ИТ-специалистов, имеющих право на отсрочку от призыва в армию. Нововведения касаются тех, кто окончил обучение, но на момент формирования списков ещё не получил диплом о высшем образовании.

Соответствующий проект опубликован на Портале проектов нормативных актов. К уже действующим критериям планируется добавить два новых:

Право на отсрочку получат сотрудники аккредитованных ИТ-компаний, завершившие обучение, но не имеющие диплома на момент формирования списков Минцифры (например, если выпуск состоялся в январе, а диплом будет выдан в феврале). В этом случае документ необходимо будет предоставить в призывную комиссию отдельно;
В перечень ИТ-специальностей для получения отсрочки предложено включить дополнительные направления: магистратуру по специальностям «Радиофизика» и «Статистика», бакалавриат по направлению «Ядерная физика и технологии» и ряд других.

«Изменения помогут молодым специалистам без перерыва строить карьеру в ИТ, а также позволят сохранить квалифицированные кадры в отрасли. При этом новые правила не создадут дополнительной нагрузки для бизнеса», — отметили в Минцифры.

Если поправки будут приняты, они вступят в силу с 2026 года и не затронут осенний призыв 2025 года.