• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Новости

Уязвимость в протоколе TLS может привести к компрометации данных

Исследователями из Рурского университета (г. Бохум, Германия) был обнаружен новый способ эксплуатации уязвимости 19-летней давности в протоколе защиты транспортного уровня (Transport Layer Security, TLS), позволяющей расшифровать данные, передаваемые с использованием алгоритма шифрования RSA.

576504

Исследователями из Рурского университета (г. Бохум, Германия) был обнаружен новый способ эксплуатации уязвимости 19-летней давности в протоколе защиты транспортного уровня (Transport Layer Security, TLS), позволяющей расшифровать данные, передаваемые с использованием алгоритма шифрования RSA.

Уязвимость получила название ROBOT (Return Of Bleichenbacher’s Oracle Threat) и связана с неправильной обработкой т. н. дополнения (англ., padding) PKCS #1 1.5 — случайного набора символов, добавляемых к зашифровываемой информации с целью повышения стойкости шифрования. Эксплуатация уязвимости может позволить злоумышленнику с помощью специальных запросов на TLS-сервер подобрать мастер-ключ RSA-шифрования.

Уязвимость затрагивает продукты компаний Cisco, Citrix, Erlang F5 Networks, Oracle Corporation и др. Ряд компаний выпустили обновления безопасности, устраняющие указанную уязвимость.

Кроме того, уязвимости подвержены 27 из 100 самых популярных доменов (согласно рейтингу компании Alexa), включая Facebook и PayPal.

Мерами по минимизации угрозы эксплуатации уязвимости ROBOT, по мнению исследователей, могут являться обновление программного обеспечения, а также отключение шифров TLS_RSA.

На сайте, посвященном уязвимости ROBOT, приведен перечень инструментов тестирования, позволяющих администраторам сайтов проверить их на наличие уязвимости.
Positive Technologies опубликовала отчет по итогам 2017 года Apple устранила уязвимости в своих продуктах