49% сайтов уязвимы к атакам через брешь в OpenSSL 16-летней давности

17.06.2014 в 19:48, просмотров: 900

Часть наиболее посещаемых интернет-ресурсов, которые шифруют данные при помощи SSL-протоколов, все еще уязвимы к атакам с эксплуатацией бреши в OpenSSL 16-летней давности. Согласно данным Ивана Ристика (Ivan Ristic) из Qualys, количество таких сайтов составляет порядка 49% всех web-страниц. Кроме того, он утверждает, что на 14% ресурсов уязвимость можно успешно проэксплуатировать.

Впервые о бреши стало известно в начале июня текущего года. Тогда сообщалось, что брешь позволяет настроить параметры рукопожатия таким образом, чтобы для связи между клиентом и сервером OpenSSL SSL/TLS использовались слабые ключи шифрования. Благодаря этому злоумышленник мог осуществить атаку «человек посередине».

Несмотря на то, что практически все версии OpenSSL уязвимы, эксплуатация бреши возможна исключительно в двух случаях, пишет Ристик. Так, для проведения атаки нужно, чтобы обе стороны использовали OpenSSL, или чтобы сервер поддерживал работу уязвимой версии OpenSSL ветки 1.0.1, сообщает securitylab.ru.