Консультативный ID Васко-са-20141017-пудель
Номер ревизии 1,0
Дата выпуска 17 октября 2014 г. 13:52 UTC + 1
Последнее обновление 17 октября 2014 г. 13:52 UTC + 1
Резюме
14 октября 2014 года исследователи безопасности из Google публично объявили об уязвимости в версии 3.0 протокола Secure Sockets Layer (SSL). Данная уязвимость позволяет неаутентифицированному удаленному злоумышленнику расшифровать части сообщений, которые зашифрованы с использованием режима работы Cipher Block Chaining (CBC) для блочных шифров. Уязвимость обычно называется Padding Oracle On Downgraded Legacy Encryption (POODLE).
Затронутые продукты
Следующие продукты подвержены уязвимости POODLE:
- IDENTIKEY Server 3.3, 3.4
- IDENTIKEY Аутентификационный Сервер 3.4 SR1, 3.5
- IDENTIKEY Сервер федерации 1.3, 1.4, 1.5
- IDENTIKEY Appliance 3.2.4. {2,3}, 3.4.5. {0,1}, 3.4.6. {0,1}
- Виртуальное устройство IDENTIKEY 3.4.6. {0,1}
- aXsGUARD Gatekeeper (все версии)
Описание
Secure Sockets Layer (SSL) 3.0 - это криптографический протокол, используемый для защиты конфиденциальности и целостности данных, передаваемых по сетям IPv4 и IPv6. 14 октября 2014 года исследователи безопасности из Google публично объявили об уязвимости в протоколе SSL 3.0. Данная уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности и выполняющему роль посредника, расшифровывать части сообщений, зашифрованных с использованием режима работы Cipher Block Chaining (CBC) для блочных шифров. В частности, эта уязвимость позволяет злоумышленнику расшифровать определенный байт зашифрованного текста не более чем с 256 попытками. Уязвимость существует из-за последовательности шифрования и аутентификации сообщений, а также из-за типа заполнения в SSL 3.0.
Уязвимость обычно называется Padding Oracle On Downgraded Legacy Encryption (POODLE). Это не относится к протоколам TLS.
Этой уязвимости был присвоен общий идентификатор уязвимости и уязвимости (CVE) CVE-2014-3566.
Оценка серьезности
В приведенной ниже таблице указаны оценки уязвимости CVSS 2.0 для различных уязвимостей.
|
Базовая оценка CVSS: 2,6 |
|||||
| Вектор доступа | Сложность доступа | Аутентификация | Влияние на конфиденциальность | Влияние целостности | Влияние доступности |
| сеть | Высокая | Никто | частичный | Никто | Никто |
| CVSS Temporal Score: 2,5 | ||
| уязвимостей | Уровень исправления | Сообщить об Уверенности |
| функциональная | Недоступен | подтвердил |
Исправления продукта
OneSpan выпустит следующие патчи:
- Сервер федерации IDENTIKEY 1.4.4, 1.5.3 от 22 октября 2014 г.
OneSpan выпустит следующие продукты:
- aXsGUARD Gatekeeper 8.0.0, с 23 октября 2014 г.
Пользователям, использующим IDENTIKEY Federation Server 1.3, рекомендуется обновить IDENTIKEY Federation Server 1.4 или 1.5 и применить соответствующее исправление.
Клиентам, использующим уязвимые версии IDENTIKEY Server или IDENTIKEY Authentication Server, рекомендуется выполнить обновление до IDENTIKEY Authentication Server 3.6, в котором SSL 3.0 по умолчанию отключен. В качестве альтернативы клиенты могут вручную отключить SSL 3.0 и включить TLS 1.x.
Пользователям, использующим уязвимые версии IDENTIKEY Appliance или IDENTIKEY Virtual Appliance, рекомендуется выполнить обновление до IDENTIKEY (Virtual) Appliance 3.4.6.2 или выше, в котором SSL 3.0 по умолчанию отключен.
Клиенты, использующие уязвимые версии aXsGUARD Gatekeeper, могут вручную отключить SSL 3.0 или обновить его до версии 8.0.0, в которой SSL 3.0 по умолчанию отключен.
Место расположения
Для продуктов aXsGUARD Gatekeeper:
OneSpan развернет исправления через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление.
Для других продуктов:
Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.
Ссылка
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
https://www.openssl.org/~bodo/ssl-poodle.pdf
Правовая оговорка
В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.