Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.

Источник: The Register

Tweet

теги: ssl, retro, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (0)

[6523]

назад «  » вперед

аналогичные материалы Опасная и все еще неисправленная восьмилетняя уязвимость в PHP // 04.05.12 17:27 Oracle срочно выпустила бюллетень, посвященный блокировке четырехлетней уязвимости // 01.05.12 21:12 Пятилетняя уязвимость в Samba // 11.04.12 22:12 Взлом HTTPS: десятилетняя теоретическая уязвимость в SSL/TLS стала реальной // 26.09.11 23:46 Создатели Apache срочно бросились исправлять ошибку четырехлетней давности // 25.08.11 00:06 Бэкдор в QuickTime // 03.09.10 01:51 Миллионы домашних роутеров оказались уязвимыми // 22.07.10 10:53

последние новостиBugTraq.Ru: последние новости Adobe все-таки выпустит бесплатные обновления для CS5.x // 14.05.12 11:13 CGI-уязвимость в PHP: второй подход к снаряду // 09.05.12 17:54 Adobe пропатчила Shockwave, Flash, Photoshop, Illustrator // 09.05.12 00:00 Майские обновления от MS // 08.05.12 21:21 Присяжные признали Google частично виновной в нарушении копирайта на Java API // 08.05.12 14:14 Февральское обновление Lion раскрыло пользовательские пароли // 06.05.12 20:51 Опасная и все еще неисправленная восьмилетняя уязвимость в PHP // 04.05.12 17:27