Компания
278,92
рейтинг
21 мая 2015 в 13:43

Разработка → Logjam — новая уязвимость в TLS

Новая уязвимость под названием Logjam обнаружена в различных реализациях протокола TLS. Уязвимость аналогична другой под названием FREAK, о которой было написано ранее. Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит DH при условии поддержки сервером шифра DHE_EXPORT, который задается в процессе «рукопожатия» (handshake) между клиентом и сервером. Т. о. атакующему значительно проще организовать атаку типа Man-in-the-Middle (MitM). Уязвимость затрагивает как серверное ПО, использующее OpenSSL (Logjam, FREAK and Upcoming Changes in OpenSSL), так и веб-браузеры.



Уязвимости подвержены веб-браузеры Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari. На текущий момент уязвимость исправлена только в IE, для которого было выпущено обновление MS15-055. В свою очередь, остальные браузеры ожидают обновления, как и пакет свободно распространяемого ПО OpenSSL. Уязвимость актуальна и для OS X, iOS, Android.


Рис. Статистика уязвимых систем.

Появление уязвимости стало возможно по той же причине, что и FREAK, из-за специального закона США, накладывающего ограничения на экспортирование стойких шифров (export restrictions mandated by the U.S. government during the Clinton administration). Т. е. при использовании TLS за пределами США, его стойкость может быть специально понижена.

При установке подключения между клиентом и сервером, в этот процесс могут вмешаться атакующие и незаметно переключить стороны на использовании слабого шифра с 512-битными ключами, а затем попытаться расшифровать трафик.

Attackers with the ability to monitor the connection between an end user and a Diffie-Hellman-enabled server that supports the export cipher can inject a special payload into the traffic that downgrades encrypted connections to use extremely weak 512-bit key material.

Необходимые системным администраторам действия и исправления можно найти по этой ссылке weakdh.org/sysadmin.html.

Доп. ссылки на исследования.

The Logjam Attack
weakdh.org

Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice [PDF]
weakdh.org/imperfect-forward-secrecy.pdf

Logjam: the latest TLS vulnerability explained
blog.cloudflare.com/logjam-the-latest-tls-vulnerability-explained

Logjam is latest security flaw to affect secure communication protocols
www.symantec.com/connect/blogs/logjam-latest-security-flaw-affect-secure-communication-protocols

HTTPS-crippling attack threatens tens of thousands of Web and mail servers
arstechnica.com/security/2015/05/https-crippling-attack-threatens-tens-of-thousands-of-web-and-mail-servers
Автор: @esetnod32
ESET NOD32
рейтинг 278,92

Комментарии (9)

  • 0
    Конечно, поддержка DHE-RSA-AES256-SHA и DHE-RSA-AES128-SHA прописана для клиентов есть, но она «самая последняя в списке».
    Сейчас есть актуальные варианты ECDHE варианты, которые и следует ставить как актуальные и первостепенные (ECDHE-ECDSA, ECDHE-RSA).
  • 0
    Странное дело, потому что Firefox и Chrome используют не OpenSSL, а NSS. Таким образом, либо новость заключается в найденой уязвимости протокола, либо в его реализациях, из которых непонятным особняком выделена именно реализация OpenSSL.
    • +1
      Это уязвимость протокола, а не реализации. Скоро (в течение пары часов) распишем.
  • –1
    На текущий момент уязвимость исправлена только в IE
    IE — лучший!
    • 0
      А чем же он лучший? Если на говносервере полняли https и там только DHE, то это не проблема клиента, что он может деградировать, а проблема админа сервера, с какого он использует DHE вместо ECDHE.
      В интернете Сервер должен поддерживать максимально безопасные на момент его рестарта шифры, даже если клиент «идиот». Вот мой браузер уязвим, а вот сервер нет, потому, что ECDHE, значит и я не уязвим.
      Аккаунтов на сайтах компаний «рога и копыта РФ», которые работают с DHE или вообще TLS1.0 у меня нету.
      На клиентам вырезают или меняют шифры потому, что он обновится у большинства пользователей и, значит, большее количество людей будет ныть админу и помоить ресурс, у которого до сих пор не поправлено.
  • 0
    На текущий момент уязвимость исправлена только в IE
    Автор, Вы мне шаблон порвали.
  • +1
    Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит RSA
    wut? Это FREAK был про RSA_EXPORT. Logjam про DHE_EXPORT и использование стандартных и/или слабых dhparam. И понижается размерность не RSA, а DH.
    • 0
      Поправил.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка