Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle»

Три исследователя безопасности Google выявили новую ошибку в протоколе SSL 3.0, которая позволяет перехватывать данные (CVE­-2014­-3566). Уязвимость получила название «Poodle».

Poodle — это акроним от английского «Padding Oracle On Downloaded Legacy Encryption» (POODLE), который является отсылкой к тому, что ошибка обнаружена в 18-летнем продукте (SSL 3.0 появился в 1996 году), который до сих пор используется в браузерах. Информация об уязвимости была опубликована во вторник вечером на сайте OpenSSL — в сообществе разработчиков, которые наиболее активно используют шифрование SSL. Циркулирующие в сети на этой неделе слухи, апрельский «Heartbleed» и недавний «Shellshock» подготовили специалистов к быстрому реагированию на новую ошибку. Однако как сообщают эксперты, ошибка намного уступает в критичности предыдущим.

Встречайте: новая ошибка в SSL — Poodle
Встречайте: новая ошибка в SSL — Poodle / Иллюстрация с сайта flickr.com

Реализация настоящей угрозы потребует от атакующего привилегированного положения в сети. Только при успешной атаке можно использовать уязвимость, чтобы получить cookies-сессии, что позволит злоумышленнику перехватить контроль над почтой, банковским аккаунтом или профилем социальной сети. Но чтобы этого достичь, в любом случае понадобится организовать атаку вида «человек посередине» (Man in the middle), поместив себя между конечным пользователем и сайтом. Такую атаку можно реализовать, например, с подложной точкой доступа W-iFi в кафе или другом публичном месте. Кроме того, для эксплуатации уязвимости Poodle необходимо, чтобы поддержка SSL3 была включена и на серверной (веб-сервер, почтовый сервер и т.п.), и на клиентской (веб-браузер, почтовый клиент и т.п.) стороне.

Помощник профессора факультета компьютерных наук в Университете Джонса Хопкинса — Мэтью Грин (Matthew Green) — утверждает, что выявленная уязвимость не позволяет просмотреть или получить доступ к большому количеству данных, как это было с «Heartbleed», и не предоставляет удалённого контроля над системой, как в случае с «Shellshock», что и делает «Poodle» гораздо менее значительной уязвимостью. Он также призывает компании и организации отказаться от SSL 3.0 на своих серверах и в браузерах, поскольку для среднестатистических пользователей это создаст трудности.

Конкретные рекомендации по изменению конфигураций популярных Open Source-служб, таких как веб-серверы (nginx, Apache, lighttpd), почтовые серверы (Postfix, Sendmail, Dovecot, Courier), OpenVPN и других, для отключения поддержки SSL3 с целью обезопаситься от уязвимости Poodle можно найти, например, на askubuntu.com.

Автор: Никита Лялин по материалам Gadgets.Ndtv.Com, Google Online Security Blog.







Интересные новости
Українські хакери вразили російські підприємства до Дня РЕБ РФУкраїнські хакери вразили російські підприємства до Дня РЕБ РФ
Ілон Маск хоче брати гроші з нових користувачів XІлон Маск хоче брати гроші з нових користувачів X
Блок рекламы


Похожие новости
Уязвимость Log4Shell поставила под угрозу сервисы Apple, Steam, Twitter, CloudFlare, Tesla, Minecraft и множество других
Японская компания Zoom подала в суд на одноимённый сервис видеосвязи из-за прав на название
Компания Facebook официально сменила название
Google изменил название рейтинга из-за того, что назвал борщ русским
Злоумышленники использовали GitHub для криптомайнинга, но сервис до сих пор не закрыл уязвимость
Американцы нашли фейковый новостной сайт Пригожина под названием NAEBC
YouTube запустила свой аналог TikTok под названием Shorts
В плагине Rank Math SEO была обнаружена серьёзная уязвимость
Уязвимость в Instagram позволяет делиться приватными постами пользователей
В Instagram обнаружена уязвимость, позволяющая взламывать чужие аккаунты
Последние новости
Подгружаем последние новости