Основные блоги b.Z » Все блоги » Про интернет » DROWN — еще одна уязвимость в OpenSSL

DROWN — еще одна уязвимость в OpenSSL

Все блоги / Про интернет 1 марта 2016 641   
Смотреть в Telegram Поделиться в TG
1 марта 2016 года в сети появилась информация о новой уязвимости в OpenSSL под названием DROWN

Уязвимость позволяет провести Man-In-The-Middle на сайты, которые используют SSLv2.
По некоторым данным, уязвимости подвержены порядка 33% серверов использующих HTTPS, в том числе сайты таких крупных компаний, как Yahoo, Alibaba, Weibo, Buzzfeed, weather.com, Flickr и Samsung.

При этом уязвимость достаточно легко эксплуатировать: для расшифровки HTTPS трафика достаточно отправить специально сформированный пакет на сервер.
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Справочник по уязвимости OpenSSL Heartbleed

Что может узнать атакующий Приватный ключ TLS сервера, приватный ключ TLS клиента (если клиент уязвим), cookies, логины, пароли и любые другие данные, которыми обменивается сервер и его клиенты. При этом не нужно прослушивать канал связи, достаточно послать специально сформированный пакет, и это

подробнее »
9 апреля 2014
[Перевод] Уязвимость OpenSSL CCS

Ингве Петтерсен продолжает изучать проблемы уязвимостей и тестировать веб-серверы на вопрос незакрытых брешей. На прошлой неделе появились сообщения о новой уязвимости в OpenSSL, которой были подвержены все версии библиотеки. Эта новая уязвимость, часто называемая уязвимостью CCS, относится к типу

подробнее »
18 июня 2014
Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик

SSLv2, протокол шифрования от Netscape, вышедший в 1995 году и потерявший актуальность уже в 1996, казалось бы, в 2016 году должен быть отключен во всем ПО, использующем SSL/TLS-шифрование, особенно после уязвимостей POODLE в SSLv3, позволяющей дешифровать 1 байт за 256 запросов, и FREAK, связанной

подробнее »
2 марта 2016
Logjam — новая уязвимость в TLS

Новая уязвимость под названием Logjam обнаружена в различных реализациях протокола TLS. Уязвимость аналогична другой под названием FREAK, о которой было написано ранее. Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит RSA при условии поддержки

подробнее »
21 мая 2015
Критическая уязвимость в OpenSSL 1.0.1 и 1.0.2-beta

Несколько часов назад сотрудники The OpenSSL Project выпустили бюллетень безопасности, в котором сообщается о критической уязвимости CVE-2014-0160 в популярной криптографической библиотеке OpenSSL. Уязвимость связана с отсутствием необходимой проверки границ в одной из процедур расширения Heartbeat

подробнее »
8 апреля 2014
[Перевод] Как защитить свой сервер от уязвимости POODLE SSLv3

Вводная информация 14 октября 2014 года в протоколе шифрования SSL версии 3 была выявлена уязвимость. Эта уязвимость, названная POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяет злоумышленнику читать информацию, зашифрованную этой версией протокола, используя атаку

подробнее »
20 октября 2014
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии