LINUX.ORG.RU

Представлена новая атака на TLS

 ,


2

1

Представлена новая атака на TLS по мотивам нашумевшей атаки FREAK. Суть осталась прежней — откат на старые и уязвимые технологии. Вместо понижения стойкости шифров теперь производится откат протокола Диффи-Хеллмана до слабого DHE_EXPORT, позволяющего осуществить подбор ключа шифрования.

При использовании сервером 512-битных начальных чисел Диффи-Хеллмана вероятность успешной атаки составляет 80%. Очень вероятно, что мощности спецслужб позволяют подбирать 1024-разрядные начальные числа. Взлом даже одного из начальных чисел позволяет прослушивать HTTPS-трафик. Взлом обоих чисел даёт возможность прослушивать VPN и SSH.

Уязвимы все популярные браузеры и многие веб-серверы. Подготовлен специальный ресурс, где можно проверить свой сервер на уязвимость и получить инструкции для правильной его настройки.

Из миллиона самых популярных доменов уязвимы:

  • 8.4% доменов
  • 3.4% HTTPS-сайтов
  • 8.9% POP3S-серверов
  • 8.4% IMAPS-серверов
  • 25.7% SSH-серверов
  • 66.1% IPsec VPN

>>> Подробности

anonymous

Проверено: Shaman007 ()

как жить-то дальше?

ps. и OpenBSD тоже подвержена?

buratino ★★★★★ ()

Суть осталась прежней — откат на старые и уязвимые технологии

я ничего не понял. Это гугло-переводчик переводил, что ли?..

Sahas ★★★★★ ()
Ответ на: комментарий от Sahas

откат и попил

значит что при невозможности использовать нормальные новые техологии, берётся УГ мамонта из export versions вместо отказа в подключении...

mumpster ★★★★★ ()

теперь производится производится

tiandrey ★★★★★ ()

день уязвимостей на лоре

kto_tama ★★★★★ ()

Секьюрность в мире, где правит балом сишка и динамически «типизированные» языки — это миф.

fmdw ()
Ответ на: комментарий от fmdw

Вот типизированность в сях как раз довольно условна.

anonymous ()
Ответ на: комментарий от fmdw

Секьюрность в мире, где правит балом сишка и динамически «типизированные» языки — это миф.

Внезапно тут косяк не в языках а в поддержке убогого запрета на сильное шифрование в США, которое должно было быть выпилено давным давно.

zink ★★ ()

Debian sid, apache - уязвимость не работает.

ptah_alexs ★★★★★ ()
Ответ на: комментарий от zink

в поддержке убогого запрета на сильное шифрование в США

ты еще рф и закон об спдн вспомни.

upcFrost ★★★★★ ()
Ответ на: комментарий от upcFrost

ты еще рф и закон об спдн вспомни.

Тут конкретная проблема, что эту ерунду запилили на уровне стандарта, а потом ещё и не выпилили когда ограничение сняли. Фоллбэк на несекьюрные шифры вообще надо выкуривать из всего проекта, это уже вторая уязвимость такого типа. Можно было бы и сделать выводы уже.

zink ★★ ()
Ответ на: комментарий от fmdw

Секьюрность в мире, где правит балом сишка и динамически «типизированные» языки — это миф.

Вот зачем ты тут это хрюкнул? Миф, это твоя вменяемость.

anonymous ()
Ответ на: комментарий от anonymous

На самом деле с секьюрностью сишного кода все в порядке, да?

anonymous ()

Test A Server: linux.org.ru

Warning! This site uses a commonly-shared 1024-bit Diffie-Hellman group, and might be in range of being broken by a nation-state. It might be a good idea to generate a unique, 2048-bit group for the site.

anonymous ()
Ответ на: комментарий от anonymous

вот да. обычно так хрюкают те, чьи безопасные язычки программирования базируются на огромных кучах кода, написанного на С. и они из своей песочницы не вылезают и думают, что солнце всегда будет светить, пока они скриптики ваяют.

а проблема дыры - действительно фоллбэки на всякое гомно мамонта. думаю, можно тупо эти фоллбэки выпилить и будет всем счастье.

Iron_Bug ★★★★ ()
ssl_prefer_server_ciphers = yes (Dovecot 2.2.6 or greater)
ssl_dh_parameters_length = 2048

а что делать с олдстейблом?!

Yustas ★★★ ()
Ответ на: комментарий от fmdw

Плюсую. Когда решето сам язык (а постоянно выплывающие ошибки с памятью, стеком позволяют так говорить) то сложно на нём сделать программу не решето.

KUser ()
Ответ на: комментарий от Yustas

а что делать с олдстейблом?!

Не ждать, пока у меня появится время собрать пакет и сделать это самостоятельной. У меня время может и не появиться.

(Disclaimer: Я не мейнтейнер, я это по работе часто делаю)

anonymous ()

Очень вероятно, что мощности спецслужб позволяют подбирать 1024-разрядные начальные числа

Мощности спецслужб позволяли ломать в щепки OpenSSL DH 1024 ещё лет 10 назад. Сейчас, в эпоху OpenCL, такое под силу средненькому вычислительному кластеру, принадлежащему ЗАО Роги&Копыта г.Урюпинска.

Главное верить в OpenSSL DH Strong Primes, особый уличный генератор статических DH-праймов в OpenSSL, он нас так долго защищал и сейчас спасёт ещё раз.

shahid ★★★★★ ()
Ответ на: комментарий от shahid

ну давай, сломай DH 2048 хотя бы, на OpenCL, покажи всему миру, может премию какую получишь :)

Harald ★★★★★ ()
Ответ на: комментарий от Harald

DH 2048

А чего сразу не 8192?
Напомню для типичных аналитиков /security/: речь про конкретные популярные реализации и применения DH, а не алгоритм.

// Хотя я ещё раньше заметил, что ты их не различаешь. Поэтому можешь не напрягаться с комментированием.

shahid ★★★★★ ()
Последнее исправление: shahid (всего исправлений: 2)
Ответ на: комментарий от shahid

ну ок, называй конкретные места в коде OpenSSL например, где по-твоему DH реализован неправильно :)

Harald ★★★★★ ()
Последнее исправление: Harald (всего исправлений: 1)
Ответ на: комментарий от Harald

Реально думаешь, что мне делать больше нечего в пятницу вечером, как выполнять твои просьбы? Тебе быстрее будет дождаться второго Сноудена, точно тебе говорю.

shahid ★★★★★ ()
Ответ на: комментарий от shahid

значит пруфа у тебя нет, и твое сообщение было пуком в лужу, так получается

Harald ★★★★★ ()

Суть осталась прежней — откат на старые и уязвимые технологии

А разве браузерам и ВПН-клиентам нельзя принудительно заставить не откатывать на старые уязвимые технологии?

Siado ★★★★★ ()
Ответ на: комментарий от shahid

DH Strong Primes

он нас так долго защищал и сейчас спасёт ещё раз.

делать-то что? или как всегда, «When in danger or in doubt, run in circles, scream and shout»? ))

mumpster ★★★★★ ()
Ответ на: комментарий от Siado

vpn

разве...нельзя принудительно заставить не откатывать

BINGO!

mumpster ★★★★★ ()
Ответ на: комментарий от shahid

snowden приде, openssl причеше

ты не понял - это агент Смит АНБ пытается понять как это использовать ))

mumpster ★★★★★ ()
Ответ на: комментарий от Siado

Современные браузеры уже запрещают или в ближайшей версии запретят откат на dh <768 битов (некоторые не меньше 1024 бита). Пользователям достаточно обновляться на новые версии браузеров.

Legioner ★★★★★ ()
Ответ на: комментарий от fmdw

Секьюрность в мире, где правит балом сишка и динамически «типизированные» языки — это миф.

Реализуй дырявый протокол на яве - и он станет надежным.

segfault ★★★★★ ()

Да когда уже наконец закопают это решето SSL/TLS ?!

segfault ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.