GoDaddy отозвала почти 9 тыс. сертификатов из-за ошибки в валидации доменов

GoDaddy отозвала почти 9 тыс. сертификатов из-за ошибки в валидации доменов

Ошибка была привнесена по недосмотру во время рутинного изменения кода.

image

Хостинг-провайдер GoDaddy отозвал порядка 9 тысяч SSL-сертификатов после обнаружения ошибки в процедуре удостоверения подлинности доменов.

По словам вице-президента и главного менеджера по ИБ-продукции GoDaddy Уэйна Тейера (Wayne Thayer), ошибка по недосмотру была привнесена 29 июля 2016 года во время рутинного изменения кода, направленного на совершенствование процесса выдачи сертификатов. При некоторых условиях наличие уязвимости вызывает отказ процедуры валидации доменов.

Проблема затрагивает 8 951 сертификат, выданный с 29 июля 2016 года по 10 января 2017 года, что составляет менее 2% сертификатов, выданных в указанный период.

Процедура подтверждения подлинности, принятая GoDaddy, предусматривает отправку кода валидации по электронной почте. Данный код получатель должен разместить на своем сайте. Для завершения проверки подлинности система должна найти данный код в определенном месте. Как пояснил Тейер, с появлением уязвимости некоторые конфигурации web-серверов заставляли систему выдавать положительный результат поиска даже в тех случаях, когда код не был найден.

Компания уже устранила вышеуказанную проблему. По словам представителя хостинг-провайдера, случаи эксплуатации данной уязвимости обнаружены не были.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle

Какие зарубежные новостные сайты по информационной безопасности вы читаете?