Найдены TLS уязвимости в приложениях Cisco
Компьютеры и софт

Найдены TLS уязвимости в приложениях Cisco

Уязвимость под названием POODLE была обнаружена специалистами самой компании Cisco. Заявлено, что она присутствует в двух программных продуктах от этого разработчика. Это Cisco ASA (Adaptive Security Appliance) и дополнительный опциональный модуль Cisco Application Control Engine (ACESM). Названная брешь подвержена вероятным атакам по TLS нового типа. На данный момент активно ведётся разработка заплатки, поэтому дыра в безопасности может закрыться в самое ближайшее время.

Уязвимость возникла при недостаточно корректной реализации программного паддинга блочного шифра, использовавшегося в отдельном протоколе TLSv1 при запуске и применении режима сцепления отдельно взятых блоков шифротекста (название этой процедуры в рамках терминов Cisco - Cipher Block Chaining). Если злоумышленник пытался эксплуатировать такую брешь, гипотетически он мог получить доступ к расшифровке зашифрованных данных, которые являются скрытыми для неавторизованных пользователей.

Также работники компании добавили, что в серии Cisco ACE 4700 подобных программных проколов найдено не было, уязвимость POODLE там работать не будет. В то же время отмечается, что ряд сканеров могут произвести идентификацию данного ПО как имеющего схожие проблемы.

О дате выпуска обновлений Cisco пока не сообщает, но произойдёт это в ближайшее время. Сотрудники компании напоминают, что шифрование данных по каналам связи обеспечивает максимально возможную сохранность информации. Поэтому использование уязвимости для её расшифровки злоумышленниками маловероятна, но не исключена.

Сам по себе дешифратор требует значительных программных ресурсов и времени. Отчёт о бреши носит информационный характер, и не должен восприниматься в качестве критической ошибки их ПО. Уязвимость в POODLE обнаружена в октябре прошлого года Адамом Лэнгли из Google. Этот специалист пояснил, что данная брешь похожа на модифицированную версию SSL 3.0, а паддинг TLS выполняется по полной аналогии. Поэтому исправление ошибки – вопрос времени, методики дополнительной защиты данных известны уже давно.

3 2162 Рейтинг 4.216/5 основан на 2162 просмотрах
Комментарии
  • Илья Кудрин

    А мне казалось, что Cisco - самая надёжная система... Мда уж... Спасибо за новость!

    Friday, 08-06-2018 15:24
  • Алексей SmarT

    Не бывает самой надёжной. Все ломаются(

    Friday, 08-06-2018 23:36
  • ShaveR

    На предприятии мы недавно Cisco поставили - хорошая штука, удобная..И вот оказывается, что в ней дыры есть...

    Friday, 16-04-2021 06:11