Недавнее сканирование сайтов из топ 100 по посещаемости выявило что 27 из них, включая Facebook и PayPal cодержали уязвимость, очень похожую на обнаруженную в 1998 году исследователем Даниэлем Блейхенбахером (Daniel Bleichenbacher) в SSL. Ошибка в алгоритме управляющем ключами RSA позволяла с помощью определенных запросов расшифровать данные, не имея ключа шифрования. Уязвимость в алгоритме не исправили, а внедрили некие обходные пути, которые закрыли уязвимость.
Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT).
Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».
Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.
По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way
Спустя 19 лет исследователи вновь применили подобную атаку и выявили что около 2,8% сайтов из первого миллиона уязвимы. Так же уязвимыми оказались программные продукты многих производителей и некоторые проекты с открытым исходным кодом. Список можно посмотреть в этой статье: VERT Threat Alert: Return of Bleichenbacher’s Oracle Threat (ROBOT).
Новая уязвимость была названа ROBOT — сокращение от «Return Of Bleichenbacher's Oracle Threat».
Из-за сложности использования (атакующему необходимо осуществить тысячи подключений к уязвимому сайту) уязвимость менее опасна чем знаменитый Heartbleed, но все же требует немедленного внимания. Рекомендуется проверить свои сайты с помощью инструмента The ROBOT Check и обновить программное обеспечение. А в долгосрочной перспективе отказаться от использования ключей RSA и начать использовать схемы Elliptic-Curve Diffie-Hellman.
По мотивам статьи: 1998 attack that messes with sites’ secret crypto keys is back in a big way
xxxFeLiXxxx
Как мило, сайт, который должен бы проверять корректность используемого SSL, использует невалидный SSL :)
NET::ERR_CERT_AUTHORITY_INVALID
xl-tech Автор
Вроде вполне валидный сертификат Let's Encrypt у них, может у вас что-то подменяет? Антивирус или DLP/прокси корпоративный.
F0iL
Подтверждаю, все нормально с сертификатом у них.
xxxFeLiXxxx
Спасибо, попробовал через 3ж с телефона, прошло. Таки DLP корпоративный.