Точнее, основная проблема заключается в сочетании поведения SSL/TLS и работающего поверх него прикладного протокола HTTP. В спецификацию TLS заложена возможность повторной установки сессии любой стороной, что и позволяет злоумышленнику вклиниться в процесс установки соединения с сервером: задержать исходный пакет, установить соединение самостоятельно, после чего пропустить исходный пакет, что будет воспринято сервером как вполне легальное повторное соединение. На этом этапе серверу по-хорошему надо бы перезапросить сертификат, но прикладному уровню не очень интересно, что происходит там внизу. Таким образом атакующий оказывается в состоянии подсунуть в защищенную сессию некий дополнительный код (например, заголовки или значения каких-то полей, кук, или просто врезать в начало http-запроса команду GET с произвольным путем), который будет воспринят сервером как исходящий от легального пользователя.

Уязвимость была обнаружена в августе, в конце сентября основные производители SSL решений создали рабочую группу, задачей которой была выработка единого подхода к решению проблемы и разработка рекомендаций по снижению эффекта от уязвимости. В настоящее время разработчики OpenSSL и GNU TLS уже приступили к тестированию патчей, другие производители находятся на разных этапах работы.

Источник: The Register

Tweet

теги: ssl, retro, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (0)

[6140]

аналогичные материалы

Взлом HTTPS: десятилетняя теоретическая уязвимость в SSL/TLS стала реальной // dl // 26.09.11 23:46 Создатели Apache срочно бросились исправлять ошибку четырехлетней давности // dl // 25.08.11 00:06 Бэкдор в QuickTime // dl // 03.09.10 01:51 Миллионы домашних роутеров оказались уязвимыми // dl // 22.07.10 10:53 FireFox избавится от потенциальной уязвимости десятилетней давности // dl // 06.04.10 01:21 Перетягивание флага // dl // 15.02.10 00:39 Adobe потеряла патч для Flash на 16 месяцев // dl // 09.02.10 20:32 Внеочередной патч IE // dl // 21.01.10 23:27 Microsoft подтвердила наличие 17-летней уязвимости во всех 32-битных системах // dl // 21.01.10 19:29 Массовая атака с помощью pdf-уязвимости // dl // 14.01.10 23:45

последние новостиBugTraq.Ru: последние новости

Google все-таки стал проверять приложения из Маркета // dl // 03.02.12 19:50 Symantec обнаружила полиморфного андроидного трояна из России // dl // 03.02.12 19:36 8 марта у жертв DNSChanger закончится интернет // dl // 03.02.12 12:01 Критическая уязвимость в PHP // dl // 03.02.12 03:09 Взлом VeriSign // dl // 02.02.12 20:31 Утечка WiFi-паролей в смартфонах HTC // dl // 02.02.12 16:52 Symantec погорячилась насчет 5 миллионов андроидных жертв // dl // 02.02.12 13:40 Symantec дает отмашку на использование pcAnywhere // dl // 01.02.12 12:58 Возможное заражение 5 миллионов пользователей Android // dl // 28.01.12 10:08 Symantec просит прекратить пользоваться pcAnywhere // dl // 26.01.12 01:27