Специалист по безопасности Бодо Мёллер (Bodo Möller) с коллегами из компании Google опубликовал подробности об уязвимости в дизайне протокола SSL 3.0. Уязвимость под кодовым названием POODLE («пудель», Padding Oracle On Downgraded Legacy Encryption, CVE-2014-3566) позволяет расшифровать содержимое защищённого канала коммуникации. В общем, на всех системах нужно срочно блокировать использование SSL 3.0, потому что работающего способа обойти эксплоит не существует.

SSL 3.0 (RFC6101), использующий шифр RC4, устарел примерно на 15 лет. На замену ему создали TLS 1.0, TLS 1.1 и TLS 1.2, но он до сих пор широко используется в браузерах, веб-серверах и т.д. И многие реализации TLS обратно совместимы с SSL 3.0. По прошлогодней статистике Microsoft, 38,65% коммуникаций в вебе по-прежнему шифровались RC4.

Злоумышленник может умышленно принудить клиента подключиться именно по SSL 3.0, эмулируя разрывы связи, и после этого эксплуатировать уязвимость.

Google пишет, что для защиты достаточно отключить поддержку SSL 3.0 или шифрования в режиме сцепления блоков (CBC mode). Однако, в этом случае возникнут серьёзные проблемы с совместимостью. Поэтому рекомендуемый способ обхода — поддержка механизма TLS_FALLBACK_SCSV, который не позволяет злоумышленнику снизить защиту канала до SSL 3.0. Механизм также предотвращает снижение защиты с TLS 1.2 до 1.1 или 1.0, что может помочь в предотвращении будущих атак.

Браузер Chrome и серверы Google поддерживают TLS_FALLBACK_SCSV с февраля, так что есть достаточно доказательств, что метод действительно эффективен.

Дополнительно, для Google Chrome также представили патч, который не позволяет соединяться по SSL 3.0. Аналогичная опция появится в Firefox 34, который ожидается к выходу 25 ноября: там поддержку SSL 3.0 отключат по умолчанию.



5 комментариев

  1. 15.10.2014 at 12:38

    на банку немного ромашки,сверху на кончике ножа мелкие белые шарики,настолько мелкие что издалека могут показаться мукой,но это именно шарики -в чем я позже убедился.Напас бодрячковый и вот уже на выдохе начинает вставлять и надо сказать не хило вставляет,приход долгий,ровный,плотный я бы сказал.Чтоб упростить понимание моих ощущений скажу так-это как хорошие бошки.С первой хапки матанга на полтора часа и ес честно я не смог дождаться когда начнет отпускать и дунул еще разок,снова такой же мощный приход.Короче на работу я проспал)),вернувшись домой в обед приобрел спиритус этиликус(чет последнее время решил отходить от ацика,иногда кажется что вставляет он)и решил проконсультироваться в лс у тс о пропорциях.ТС мне душевно и быстро пояснил,к 10 поэтому я как любой уважающий себя мусчина сделал к 7,да важно-в спирту сначала не растворялась,поставил на утюг и тут по мере нагревания рега стала превращаться сначала в прозрачное масло а по мере растворения изменился до темно коричневого,помню такое было у дживаха 18го,короч пркольно все растворилось минут за 10.Травчег курили с банки-жестянки—достаточно одной таблэтки.А еще его роднит и с бошками и с дживом безконечное желание схавать какую нить приколюху,короче операция саранча имеет место .Так же был опробован гидроусиленный варик с бульбулятором, но чет не айс,может кому подойдет и такой способ,но по мне и еще одного человека со стажем мнению-курить лучше с банки,приход като ярче.Буду закругляться-МИСТЕР ПОЗИТИВ ВЫ НАСТОЯЩИЙ ПОЗИТИВ.Брать стоит тем кто хочет получить удовольствие как от общения с оператором так и от реакта данного магаза,он того стоит,я давно такой искал,все очень очень гут-тут.Думаю к выходным прикупиться тут ск,почитал трипы заинтересовали крисы ваши очень))Благодарю за доверие и выделенную пробу

  2. 15.10.2014 at 13:52

  3. 15.10.2014 at 15:42

    А на «Хакере» когда будет HTTPS ?

Оставить мнение