Знайдено TLS уразливості в програмах Cisco

017 Уразливість під назвою POODLE була виявлена ​​фахівцями самої компанії Cisco. Заявлено, що вона присутня у двох програмних продуктах від цього розробника. Це Cisco ASA (Adaptive Security Appliance) і додатковий опціональний модуль Cisco Application Control Engine (ACESM). Названий пролом схильний ймовірним атакам по TLS нового типу. На даний момент активно ведеться розробка заплатки, тому діра в безпеці може закритися найближчим часом.

Уразливість виникла у наслідок недостатньо коректної реалізації програмного паддінга блочного шифру, що використовувався в окремому протоколі TLSv1 при запуску і застосуванні режиму зчеплення окремо взятих блоків шифротекста (назва цієї процедури в рамках термінів Cisco - Cipher Block Chaining). Якщо зловмисник намагався експлуатувати такий пролом, гіпотетично він міг отримати доступ до розшифровки зашифрованих даних, які є прихованими для неавторизованих користувачів.

Також фахівці компанії додали, що в серії Cisco ACE 4700 подібних програмних проколів знайдено не було, вразливість POODLE там працювати не буде. У той же час відзначається, що ряд сканерів можуть зробити ідентифікацію даного ПЗ, які мають схожі проблеми.

Про дату випуску оновлень Cisco поки не повідомляє, але станеться це найближчим часом. Співробітники компанії нагадують, що шифрування даних по каналах зв'язку забезпечує максимально можливе збереження інформації. Тому використання вразливості для її розшифровки зловмисниками малоймовірна, але не виключена.

Сам по собі дешифратор вимагає значних програмних ресурсів і часу. Звіт про проломи носить інформаційний характер, і не повинен сприйматися як критична помилка ПО. Уразливість в POODLE виявлена ​​в жовтні минулого року Адамом Ленглі з Google. Цей фахівець пояснив, що даний пролом схожий на модифіковану версію SSL 3.0, а паддінг TLS виконується по повній аналогії. Тому виправлення помилки - питання часу, методики додаткового захисту даних відомі вже давно.

Комментариев: 2 на “Знайдено TLS уразливості в програмах Cisco

  1. А мені здавалося, що Cisco — найнадійніша система … Мда вже … Спасибі за новину!

Добавить комментарий

Ваш e-mail не будет опубликован.