OpenForum RSS: Уязвимость в SSLv3 может использоваться и для атаки на некот... https://opennet.me/openforum/vsluhforumID3/100599.html История с выявлением в SSLv3 уязвимости POODLE (http://www.opennet.ru/opennews/art.shtml?num=40833) (CVE-2014-3566), позволяющей извлечь из зашифрованного канала связи закрытую информацию, что привело к массовому прекращению поддержки SSLv3 в браузерах и в серверном ПО, получила продолжение. Адам Лэнгли (Adam Langley), известный эксперт по компьютерной безопасности, отвечающий в Google за обеспечение работы инфраструктуры доступа по HTTPS, сетевой стек Chrome и разработку BoringSSL, сообщил (https://www.imperialviolet.org/2014/12/08/poodleagain.html) о выявлении метода применения атаки POODLE для некоторых сайтов, использующих TLS 1.0 и 1.1 (CVE-2014-8730). <br><br><br><br>Суть проблемы заключается в том, что применяемый в TLS метод добавочного заполнения (padding), используемый для выравнивания зашифрованных данных по границе CBC-блока, является подмножеством метода заполнения SSLv3, что позволяет использовать функции декодирования SSLv3 с TLS. Сам по себе метод заполнения в TLS защищён от атак, подобных POODLE, но Уязвимость в SSLv3 может использоваться и для атаки на некот... (онаним) https://opennet.me/openforum/vsluhforumID3/100599.html#13 Wed, 10 Dec 2014 17:59:39 GMT Ага, точно. %)<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (Аноним) https://opennet.me/openforum/vsluhforumID3/100599.html#12 Tue, 09 Dec 2014 20:22:56 GMT и то и другое.<br>в "небезупречном "by design", архитекртурно, подходе - еще и усугублено в разЫ, драматически, конкретными реализациями.<br>но это все совпадение, наверное ;)<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (Аноним) https://opennet.me/openforum/vsluhforumID3/100599.html#10 Tue, 09 Dec 2014 15:46:04 GMT &gt; -- Эксплоит с SSL -&gt; спам рассылки еще более активизировались из-за полученных <br>&gt; практически "за просто так" баз данных с других крупных и не очень проектов.<br><br>Более того, наверняка умыкнули уйму номеров кред, паролей и прочего добра.<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (Аноним) https://opennet.me/openforum/vsluhforumID3/100599.html#9 Tue, 09 Dec 2014 15:42:41 GMT &gt; Год богат на раздувание маркетолухами из мухи слона.<br><br>В криптографии не бывает мелочей. Как известно, у безопасности есть 2 уровня: "high" и "нехай".<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (lv7e) https://opennet.me/openforum/vsluhforumID3/100599.html#8 Tue, 09 Dec 2014 13:47:06 GMT По ссылке (в статье есть, кстати) список продуктов одной компании, подверженых уязвимости, но ничего не сказано об используемых библиотеках.<br>Кратко о том, что я смог найти о данном варианте использования POODLE:<br>- эксплуатация возможна при использовании поточных шифров в режиме CBC. GCM безопасен.<br>- уязвимы старые версии NSS и, видимо, некоторые проприетарные продукты. Про OpenSSL/LibreSSL не известно.<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (thatskriptkid) https://opennet.me/openforum/vsluhforumID3/100599.html#7 Tue, 09 Dec 2014 13:14:39 GMT Чем плохо трубирование на весь мир ? А вот про маркетологов согласен.<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (ананас) https://opennet.me/openforum/vsluhforumID3/100599.html#6 Tue, 09 Dec 2014 13:13:52 GMT Я с вами несогласен!<br>Любая огласка о "дырах" заставляет *всех* не расслабляться. <br><br>Наконец-то начинают работать простые правила: "никому не доверяй", и "доверяй но проверяй". Что следовательно сейчас и происходит со стороны вошедших в тренд событий связанных с взломами, багами, и т.п. и т.д.<br><br>Уверен, 95% из всех кто читает это сообщение подвергся эксплоитам которые были найдены в этом году, например такие как:<br><br>-- Эксплоит с башем = Мощность DDoS атак за те же деньги увеличилась в десятки раз. <br>-- Эксплоит с SSL -&gt; спам рассылки еще более активизировались из-за полученных практически "за просто так" баз данных с других крупных и не очень проектов.<br>-- В ваших access.log сайтов появилось еще больше crawlers + запросов вида for( ;; ) ping hacker.domain <br><br>Так что пусть лучше СМИ трубят, и заставляют суетиться всех в этой каше вариться.<br>На мой взгляд это процесс естественной эволюции во всех сферах. <br><br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (Аноним) https://opennet.me/openforum/vsluhforumID3/100599.html#5 Tue, 09 Dec 2014 12:46:03 GMT https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html<br> Уязвимость в SSLv3 может использоваться и для атаки на некот... (lv7e) https://opennet.me/openforum/vsluhforumID3/100599.html#4 Tue, 09 Dec 2014 12:12:49 GMT Если я правильно понял, то уязвим не сам протокол TLS, а его реализации, использующие legacy код. В этом случае нужен список ПО, в котором есть эта бага. Особенно интересно, уязвим ли OpenSSL и LibreSSL.<br>