19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal
Главная » Новости

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22
...
19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5  BIG-IP SSL vulnerability  CVE-2017-6168
Citrix  TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway  CVE-2017-17382
Radware  Security Advisory: Adaptive chosen-ciphertext attack vulnerability  CVE-2017-17427
Cisco ACE  End-of-Sale and End-of-Life  CVE-2017-17428
Bouncy Castle  Fix in 1.59 beta 9, Patch / Commit  CVE-2017-13098
Erlang  OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7  CVE-2017-1000385
WolfSSL  Github PR / patch  CVE-2017-13099
MatrixSSL  Changes in 3.8.3  CVE-2016-6883
Java / JSSE  Oracle Critical Patch Update Advisory – October 2012  CVE-2012-5081
Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Еще одна турецкая авиакомпания ограничила провоз пауэрбанков
Яков Шпунт 14 Августа 2025 - 22:29
Домашние пользователиГосударство
Еще одна турецкая авиакомпания ограничила провоз пауэрбанков

Турецкий лоукостер AJet запретил пассажирам пользоваться пауэрбанками во время полета. Перевозка устройств мощностью свыше 100 Вт·ч теперь допускается только с разрешения авиакомпании, а более 160 Вт·ч — исключительно в багаже и при соблюдении дополнительных условий.

О запрете сообщил телеканал TRT Haber. Ранее аналогичные меры ввела авиакомпания Pegasus.

«По рекомендации Генерального управления гражданской авиации Турции (SHGM) запрещено использование во время полета портативных зарядных устройств (пауэрбанков) с литиевыми батареями мощностью до 100 Вт·ч, электронных сигарет, запасных или внешних аккумуляторов. Их можно перевозить только в ручной клади», — цитирует телеканал выдержку из официального сообщения перевозчика.

Пауэрбанки повышенной мощности можно провозить только при наличии разрешения авиакомпании. Если емкость устройства превышает 160 Вт·ч, перевозка разрешена исключительно в багаже и в специальной упаковке.

Причиной ужесточения правил стала ситуация на рейсе Asiana Airlines Стамбул — Сеул 29 июля: потерянный в самолете пауэрбанк привел к вынужденной посадке в Казахстане. После этого министр транспорта и инфраструктуры Турции Абдулкадир Уралоглу рекомендовал ввести более строгие требования к перевозке внешних аккумуляторов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Московские школы начали требовать от учеников и родителей установки MAX
Новость
Московские школы начали требовать от учеников и родителей ус...
Атак на память стало на 47% больше: в фокусе уязвимости браузеров
Новость
Атак на память стало на 47% больше: в фокусе уязвимости брау...
МВД России просит доступ к банковским данным и срочную заморозку денег
Новость
МВД России просит доступ к банковским данным и срочную замор...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.