Два программных продукта Cisco уязвимы к атаке по TLS

image

Теги: уязмимость, POODLE, TLS

Эксплуатация бреши POODLE позволяет неавторизованному злоумышленнику расшифровать содержимое защищенного канала коммуникации.

Компания Cisco  сообщила , что два ее программных продукта Cisco ASA (Adaptive Security Appliance) и модуль Cisco Application Control Engine (ACESM) уязвимы к новому виду атаки по TLS с эксплуатацией бреши POODLE.

Уязвимость возникла в результате некорректной реализации паддинга блочного шифра в протоколе TLSv1 при использовании режима сцепления блоков шифротекста (Cipher Block Chaining). Эксплуатация бреши позволяет неавторизованному киберпреступнику расшифровать содержимое защищенного канала коммуникации и получить доступ к важным данным.

По словам разработчика, в серии Cisco ACE 4700 данная проблема не обнаружена, но компания предупреждает, что некоторые сканеры могут идентифицировать эти программные продукты как уязвимые. Cisco планирует выпустить обновления, исправляющие брешь, но когда это произойдет пока не уточняется.

О том, что POODLE можно  эксплуатировать  для атак по TLS стало известно в октябре этого года, вскоре после того, как уязвимость была обнаружена. Как пояснил специалист Google Адам Лэнгли (Adam Langley), паддинг в TLS представляет собой модифицированную версию паддинга в SSL 3.0. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus