Znaleziono luki TLS w programach Cisco
Komputery i oprogramowanie

Znaleziono luki TLS w programach Cisco

Luka o nazwie POODLE została odkryta przez specjalistów z samej firmy Cisco. Stwierdzono, że jest obecny w dwóch produktach oprogramowania od tego programisty. Są to Cisco ASA (Adaptive Security Appliance) i opcjonalny moduł Cisco Application Control Engine (ACESM). Nazwana luka jest podatna na prawdopodobne ataki na nowy typ TLS. W tej chwili aktywnie rozwija się łatka, więc dziura w bezpieczeństwie może zostać zamknięta w najbliższej przyszłości.

Luka w zabezpieczeniach została spowodowana niewystarczająco poprawną implementacją kodu blokowego, który został użyty w oddzielnym protokole TLSv1 podczas uruchamiania i stosowania trybu łączenia pojedynczych bloków szyfrogramu (nazwa tej procedury w terminach Cisco-Cipher Block Chaining). Jeśli atakujący próbował wykorzystać taką lukę, hipotetycznie mógł uzyskać dostęp do odszyfrowywania zaszyfrowanych danych, które są ukryte dla nieautoryzowanych użytkowników.

Specjaliści firmy dodali również, że w serii Cisco ACE 4700 nie znaleziono takich przebicia oprogramowania, Luka POODLE nie będzie działać. Jednocześnie zauważono, że wiele skanerów może zidentyfikować to oprogramowanie jako mające podobne problemy.

Data wydania aktualizacji Cisco nie jest jeszcze informowana, ale stanie się to wkrótce. Pracownicy firmy przypominają, że szyfrowanie danych za pośrednictwem kanałów komunikacyjnych zapewnia najwyższą możliwą ochronę informacji. Dlatego wykorzystanie luki w zabezpieczeniach w celu jej odszyfrowania przez atakujących jest mało prawdopodobne, ale nie wykluczone.

Sam dekoder wymaga znacznych zasobów oprogramowania i czasu. Raport o naruszeniach ma charakter informacyjny i nie powinien być traktowany jako krytyczny błąd ich oprogramowania. Luka w pudle została odkryta w październiku ubiegłego roku przez Adama Langleya z Google. Specjalista wyjaśnił, że ta luka jest podobna do zmodyfikowanej wersji SSL 3.0, A padding TLS jest wykonywany w pełnej analogii. Dlatego korekta błędu jest kwestią czasu, techniki dodatkowej ochrony danych są znane od dawna.

0 2006 Ocena 4.200/5 oparte na 2006 wyświetlenia
Denis Katz

Denis Katz — Blogger amator, Mobile News

Poprzednie wiadomości
TSMC rozpoczął globalną produkcję najlepszego układu Qualcomm Snapdragon 875
TSMC rozpoczął globalną produkcję najlepszego układu Qualcomm Snapdragon 875
Olympus opuści rynek kamer
Olympus opuści rynek kamer
Honor zaprezentował telefon 9A z baterią 5000 mAh za $ 170
Honor zaprezentował telefon 9A z baterią 5000 mAh za $ 170
Po raz pierwszy superkomputer na ARM stał się potężny na świecie
Po raz pierwszy superkomputer na ARM stał się potężny na świecie