The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В протоколах SSL/TLS найдена критическая уязвимость"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от opennews on 06-Ноя-09, 09:37 
Марш Рэй (Marsh Ray) и Стив Диспенса (Steve Dispensa) из компании PhoneFactor обнаружили (http://www.phonefactor.com/sslgap/) критическую уязвимость (http://extendedsubset.com/?p=8) в протоколах SSL/TLS, позволяющую злоумышленнику организовать подстановку своих данных в устанавливаемое между двумя точками защищенное соединение. Для успешного проведения атаки злоумышленник  должен иметь возможность вклинится в проходящий защищенный трафик, например, получить контроль над промежуточным шлюзом, прокси сервером или установить свое оборудование в разрыв сетевого кабеля (man-in-the-middle атака).


Удачно проведенная атака позволяет незаметно добавить свой текст в начало SSL/TLS сессии. Так как часто сеанс работы с сайтом состоит из множества разных SSL/TLS сессий, теоретически злоумышленник может под прикрытием обычной активности пользователя совершить угодные атакующему действия на сервере, при этом пользователь будет уверен, что совершает легитимные операции в рамках защищенного соедин...

URL: http://www.theregister.co.uk/2009/11/05/serious_ssl_bug/
Новость: http://www.opennet.ru/opennews/art.shtml?num=24132

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Torch on 06-Ноя-09, 09:37 
Красота! Статья чудесна :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от greenwar (ok) on 06-Ноя-09, 09:45 
ща угадаю..
http://www.opennet.ru/openforum/vsluhforumID3/60249.html
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "В протоколах SSL/TLS найдена критическая уязвимость"  +2 +/
Сообщение от Aleksey (??) on 06-Ноя-09, 09:58 
Не угадали.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "В протоколах SSL/TLS найдена критическая уязвимость"  +2 +/
Сообщение от QuAzI (ok) on 06-Ноя-09, 09:53 
Интересно, OpenVPN тоже подвержен атаке или там всё не так просто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от anonymous (??) on 06-Ноя-09, 14:43 
>Интересно, OpenVPN тоже подвержен атаке или там всё не так просто.

Нет, не прокатит. TLS используется только на транспортном уровне. Ну сгенерят они общий сессионный ключ, а дальше что? Сертификатов у подмененной стороны-то нету. Вылетит такой клиент.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "В протоколах SSL/TLS найдена критическая уязвимость"  –1 +/
Сообщение от stan email(??) on 06-Ноя-09, 10:28 
А с SSH такой фокус прокатит?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Vasily Pupkin on 06-Ноя-09, 10:43 
Нет
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Ноя-09, 10:47 
Нет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от oops on 06-Ноя-09, 10:54 
нет
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "В протоколах SSL/TLS найдена критическая уязвимость"  +4 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Ноя-09, 11:12 
>нет

Три авторитетнейше выглядящих ника ответили в унисон... :-D

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

31. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от anonymous (??) on 06-Ноя-09, 14:41 
дык.

нет.
Три с половиной анонимуса, кворум собран.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

49. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Ololo on 13-Апр-11, 14:37 
Нет.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "В протоколах SSL/TLS найдена критическая уязвимость"  –1 +/
Сообщение от Аноним (??) on 06-Ноя-09, 11:55 
Зачем же доверять всем кто по SSL зашёл?
Смысл SSL в том, что ни кто не видит трафика, а пароль всё равно вводить надо.
Ну или ID сессии проверять и нет проблем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Ноя-09, 13:18 
>Зачем же доверять всем кто по SSL зашёл?
>Смысл SSL в том, что ни кто не видит трафика, а пароль
>всё равно вводить надо.
>Ну или ID сессии проверять и нет проблем.

Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается к серверу, был уверен, что подключился туда, куда надо.

Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

48. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от MK (??) on 10-Ноя-09, 23:19 
>>Зачем же доверять всем кто по SSL зашёл?
>>Смысл SSL в том, что ни кто не видит трафика, а пароль
>>всё равно вводить надо.
>>Ну или ID сессии проверять и нет проблем.
>
>Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается
>к серверу, был уверен, что подключился туда, куда надо.
>

Он-то и останется уверен - уязвимость позволяет от имени клиента отправлять данные на сервер, а не наоборот, насколько я понимаю.


>Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить.
>

Это да, это проблема.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

12. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 12:20 
ИМХО лучше-бы они его заменили на ipsec over tcp
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Семен (??) on 06-Ноя-09, 12:27 
А https - это http и ssl?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В протоколах SSL/TLS найдена критическая уязвимость"  –1 +/
Сообщение от ZigmunD (??) on 06-Ноя-09, 12:34 
Да
https можно сделать даже если веб-сервер это не поддерживает. Например, через stunnel.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "В протоколах SSL/TLS найдена критическая уязвимость"  +1 +/
Сообщение от PereresusNeVlezaetBuggy email(ok) on 06-Ноя-09, 13:21 
>А https - это http и ssl?

Если быть точным, то и HTTP+TLS тоже, обычно именно он востребован.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Pilat (ok) on 06-Ноя-09, 13:09 
Никому верить нельзя...

PS
Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на  месяц со своим открытием :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от verrens on 06-Ноя-09, 13:18 
> Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на  месяц со своим открытием :)

Думаю, об этой уязвимости знали с момента опубликования протокола TLS...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 13:20 
>> Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на  месяц со своим открытием :)
>
>Думаю, об этой уязвимости знали с момента опубликования протокола TLS...

я пока не видел технической реализации (может плохо искал), но если всё так вкусно как написано -- то это просто конкретная жопа.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от verrens on 06-Ноя-09, 13:23 
<paranoid>Вполне возможно, что это бэкдур</paranoid> ;)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от empty on 06-Ноя-09, 13:51 
Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что те, кто строят безопасность исключительно на PKI - сами себе злобные буратины.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Pilat (ok) on 06-Ноя-09, 13:59 
>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>те, кто строят безопасность исключительно на PKI - сами себе злобные
>буратины.

А проблема к PKI имеет отношение?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "В протоколах SSL/TLS найдена критическая уязвимость"  –1 +/
Сообщение от empty on 06-Ноя-09, 14:13 
Если Public Key Infrastructure к SSl/TLS не имеет отношения, то я не знаю, что тогда имеет.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "В протоколах SSL/TLS найдена критическая уязвимость"  +1 +/
Сообщение от Pilat (ok) on 06-Ноя-09, 14:30 
>Если Public Key Infrastructure к SSl/TLS не имеет отношения, то я не
>знаю, что тогда имеет.

Не перевирайте. Мой вопрос был - имеет ли PKI отношение к проблеме, а не имеет ли PKI отношение к TLS.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

30. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Унунумус on 06-Ноя-09, 14:40 
PKI имеет отношение к TLS, а TLS имеет отношение к проблеме.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "В протоколах SSL/TLS найдена критическая уязвимость"  +1 +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 14:42 
>PKI имеет отношение к TLS, а TLS имеет отношение к проблеме.

да но PKI не имеет отношение к проблеме

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Унунумус on 06-Ноя-09, 14:44 
нет, давайте обсудим! :D
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

25. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 13:59 
>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>те, кто строят безопасность исключительно на PKI - сами себе злобные
>буратины.

где эти писатели ? ссылку?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от empty on 06-Ноя-09, 14:13 
>>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>>те, кто строят безопасность исключительно на PKI - сами себе злобные
>>буратины.
>
>где эти пейсатели ? сслку?

http://en.wikipedia.org/wiki/Public_key_infrastructure вторая ссылка в External links

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

28. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 14:22 
>>>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>>>те, кто строят безопасность исключительно на PKI - сами себе злобные
>>>буратины.
>>
>>где эти пейсатели ? сслку?
>
>http://en.wikipedia.org/wiki/Public_key_infrastructure вторая ссылка в External links

хорошая дока -- все основные проблемы освещены -- тjkько про буратин там ничего не нашел -- более того есть доброе понятие - "Критикуя - предлагай"

повторю моё имхо -- лучше-бы они его PKI передалали в ipsec через TCP

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от User294 (ok) on 06-Ноя-09, 16:27 
> повторю моё имхо -- лучше-бы они его PKI передалали в ipsec через TCP

Лучше б вы убились веником с такими советами, имхо. Если эту идею не дай боже кто реализует массово, я не советую вам попадаться на глаза админам в узком месте в темное время суток. Потому что замена не эквивалентна по смыслу но зато по геморройности - переплюнет в хренадцать раз. Знаете в чем плюс SSL? В том что он не лезет на уровень IP. Чем сильно упрощает участь обладателей натов, файрволов, проксей и прочего добра. А вот с ipsec можно отхватить в ряде случаев неслабого ip-секаса :).И, знаете, если сайт банка не загрузится потому что по пути дескать был туповатый NAT - это неприемлимо.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

38. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 17:20 
>[оверквотинг удален]
>Лучше б вы убились веником с такими советами, имхо. Если эту идею
>не дай боже кто реализует массово, я не советую вам попадаться
>на глаза админам в узком месте в темное время суток. Потому
>что замена не эквивалентна по смыслу но зато по геморройности -
>переплюнет в хренадцать раз. Знаете в чем плюс SSL? В том
>что он не лезет на уровень IP. Чем сильно упрощает участь
>обладателей натов, файрволов, проксей и прочего добра. А вот с ipsec
>можно отхватить в ряде случаев неслабого ip-секаса :).И, знаете, если сайт
>банка не загрузится потому что по пути дескать был туповатый NAT
>- это неприемлимо.

лучше-бы хоть иногда помолкивал

какой из существующих nat'ов не умеет TCP?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

40. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Аноним (??) on 06-Ноя-09, 18:28 
> какой из существующих nat'ов не умеет TCP?

Вы TCP с IP случайно не путаете ? :)

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

41. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 18:39 
>> какой из существующих nat'ов не умеет TCP?
>
>Вы TCP с IP случайно не путаете ? :)

а Вы случайно не путаете ? :)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от User294 (ok) on 06-Ноя-09, 20:07 
>какой из существующих nat'ов не умеет TCP?

Вы вроде бы про IPSEC вещали? Так он на уровне именно IP-пакетов оперирует, 1 уровнем ниже чем TCP. Или вы предлагаете его протунелять в TCP и ... ? А зачем столько наворотов? По сути целый VPN-сервер получается вместо просто секурного туннеля. Если надо такие навороты - есть VPN, в частности по типу openvpn-а (правда там тоже SSL используется для шифрования, хехе).

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

43. "В протоколах SSL/TLS найдена критическая уязвимость"  –1 +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 20:37 
>>какой из существующих nat'ов не умеет TCP?
>
>Вы вроде бы про IPSEC вещали? Так он на уровне именно IP-пакетов
>оперирует, 1 уровнем ниже чем TCP. Или вы предлагаете его протунелять
>в TCP и ... ? А зачем столько наворотов? По сути
>целый VPN-сервер получается вместо просто секурного туннеля. Если надо такие навороты
>- есть VPN, в частности по типу openvpn-а (правда там тоже
>SSL используется для шифрования, хехе).

да говорил про ipsec , да тот который засунут в TCP, и да от этого у ipsec'а транспортныйрежим никуда не деваееется -- так-что всё-же лучше тебе было помалкивать

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

44. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от User294 (ok) on 06-Ноя-09, 23:36 
> да говорил про ipsec , да тот который засунут в TCP

Нет, я все-таки скажу: мсье знает толк в извращениях. А какие плюсы такого решения? Только не надо говорить что он без дыр - пока протокол пользует полтора человека, они все как бы без дыр, а вот потом...

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 07-Ноя-09, 00:35 
>> да говорил про ipsec , да тот который засунут в TCP
>
>Нет, я все-таки скажу: мсье знает толк в извращениях. А какие плюсы
>такого решения? Только не надо говорить что он без дыр -
>пока протокол пользует полтора человека, они все как бы без дыр,
>а вот потом...

минусов больше чем плюсов, но лично я имею претензии не к ssl/tls а больше к openssl - как самой распространённой OSS реализации

тем временем
"OpenSSL 0.9.8l
от freshmeat.net announcements (Global) автор: Moritz Barsnick
The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, fully featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) as well as a full-strength general-purpose cryptography library.

Changes: Fixes to stateless session resumption handling were made. Error return checking was improved for several function calls. Leading 0x80 in OIDs are no longer tolerated. The server certificate chain building code now correctly uses X509_verify_cert(). A potential denial of service attack in dtls1_process_out_of_seq_message() was resolved. Several other bugs were fixed.

Release Tags: Major security fixes

Tags: Software Development, Libraries, Security, Cryptography

"

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от User294 (ok) on 08-Ноя-09, 06:07 
Во первых, есть и иные реализации, скажем либа GnuTLS. Во вторых - вы процитировали ченжлог. Имхо это хорошо, когда авторы либы оперативно реагируют на обнаруженную проблему. Может, покажете для сравнения какойнить микрософт, починивший эту проблему у себя за этот же срок? Ну или там кого еще у кого самопальные реализации SSL есть. И кстати, а кто сказал что в случае IPSEC или прочая будет лучше? Это мягко говоря не факт.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

35. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от аноним on 06-Ноя-09, 16:14 
А чинить-то будут или как?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Andrey Mitrofanov on 06-Ноя-09, 16:24 
А ты думал, нет?

http://www.links.org/?p=786 /Читайте на страницах http://updo.debian.net/jwz-free/

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от pavel_simple (ok) on 06-Ноя-09, 17:27 
>А ты думал, нет?
>
>http://www.links.org/?p=786 /Читайте на страницах http://updo.debian.net/jwz-free/

спасиб

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

46. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Аноним (??) on 07-Ноя-09, 02:11 
А эксплойт, кусачки и обжимник есть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "В протоколах SSL/TLS найдена критическая уязвимость"  +/
Сообщение от Вовыч on 23-Май-11, 10:13 
Коллеги, приветствую.

Что по этой теме? Вопрос закрыт?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру