DROWN — еще одна уязвимость в OpenSSL
1 марта 2016 года в сети появилась информация о новой уязвимости в OpenSSL под названием DROWN
Уязвимость позволяет провести Man-In-The-Middle на сайты, которые используют SSLv2.
По некоторым данным, уязвимости подвержены порядка 33% серверов использующих HTTPS, в том числе сайты таких крупных компаний, как Yahoo, Alibaba, Weibo, Buzzfeed, weather.com, Flickr и Samsung.
При этом уязвимость достаточно легко эксплуатировать: для расшифровки HTTPS трафика достаточно отправить специально сформированный пакет на сервер.
Читать дальше →
Уязвимость позволяет провести Man-In-The-Middle на сайты, которые используют SSLv2.
По некоторым данным, уязвимости подвержены порядка 33% серверов использующих HTTPS, в том числе сайты таких крупных компаний, как Yahoo, Alibaba, Weibo, Buzzfeed, weather.com, Flickr и Samsung.
При этом уязвимость достаточно легко эксплуатировать: для расшифровки HTTPS трафика достаточно отправить специально сформированный пакет на сервер.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- [Перевод] «Призраки в коммитах 2»: пылесосим историю Git в поиске утекших секретов
- Как мы строим real-time data-пайплайны для анонимных крипто-свапалок: опыт на примере risetocrypto
- [Перевод] Ай! Не туда! Как злоупотреблять симлинками и повышать привилегии (LPE-шиться) в Windows
- Шифрование скриптов
- Vaultwarden: как я поднял свой менеджер паролей и перестал беспокоиться?
- BGGP3: Хороший тамада и конкурсы интересные
- IP-телефония в России: запрет или новые правила? Разбираемся
- Что остаётся после нас в онлайне — и как с этим быть
- Android. Кража данных через клавиатуру: миф или реальность?
- Spark_news: Продолжается рост закупок госкомпаний у самозанятых