Новая уязвимость в OpenSSL угрожает миллионам HTTPS-сайтов
Проблема позволяет провести атаку «человек посередине» на сайты, поддерживающие SSLv2.
Разработчики криптографической библиотеки OpenSSL выпустили обновления безопасности, устраняющие ряд серьезных уязвимостей, в том числе проблему CVE-2016-0800, позволяющую совершить новый тип атаки на HTTPS – DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
Проблема позволяет провести атаку «человек посередине» на сайты, поддерживающие SSLv2.
Разработчики криптографической библиотеки OpenSSL выпустили обновления безопасности, устраняющие ряд серьезных уязвимостей, в том числе проблему CVE-2016-0800, позволяющую совершить новый тип атаки на HTTPS – DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).

Данная уязвимость не специфична для OpenSSL и затрагивает непосредственно протокол SSLv2. Хотя протокол уже давно переведен в разряд устаревших, его до сих пор поддерживает значительное количество серверов. Как оказалось, из 36 млн HTTPS-серверов 6 млн (17%) поддерживают SSLv2.

По некоторой информации, проблеме подвержены порядка 33% сайтов, обеспечивающих передачу данных по зашифрованному протоколу HTTPS, в том числе ресурсы Yahoo!, Alibaba, Weibo, Buzzfeed, Rambler, Weather.com, Flickr и Samsung.

Данная уязвимость позволяет провести атаку «человек посередине» на сайты, поддерживающие SSLv2. Проэксплуатировав проблему, злоумышленники могут перехватить интернет-трафик и похитить конфиденциальные данные. Получив доступ к промежуточному шлюзу атакующий может имитировать HTTPS-сервер или почтовый сервер и получить контроль над шифрованным трафиком, принимая запросы от клиента и транслируя их к настоящему серверу. Пользователь не заметит подвоха и будет уверен в успешности установки защищенного соединения.

Атака довольно сложна в реализации и требует наличия определенных условий. Для восстановления одного сеансового ключа атакующему необходимо выполнить примерно 2^50 вычислительных операций (8 часов вычислений в облаке Amazon EC2, стоимостью $440) и инициировать 40 тысяч соединений с целевым сервером.
Для защиты серверов рекомендуется отключить протокол SSLv2. В новых версиях OpenSSL 1.0.2g и 1.0.1s поддержка SSLv2 полностью отключена на этапе сборки. Microsoft IIS и NSS уязвимости не подвержены.
Источник: www.securitylab.ru
Источник: www.securitylab.ru
vop
2016-03-02 19:17:44
Avatar

Я думал, что sslv2 уже давно все запретили.

kha0s
2016-03-02 20:13:55
Avatar

Некоторые сайты, где мы вводим логины и пароли, сбрасываем реквизиты в личках и т.п. (да, да - например этот) до сих пор без https, а вы тут о космических кораблях...

vop
2016-03-02 21:28:51
Avatar

Вот жеж блин жеж. Уже и летсэнкрипт на блюдечке все дает...

Den_LocalNet
2016-03-02 22:51:14
Avatar

+1 не порядок

Вы должны войти

loading