Уязвимость SSL 3.0 POODLE в продуктах OneSpan

Консультативный ID Васко-са-20141017-пудель

Номер ревизии 1,0

Дата выпуска 17 октября 2014 г. 13:52 UTC + 1

Последнее обновление 17 октября 2014 г. 13:52 UTC + 1

Резюме

14 октября 2014 года исследователи безопасности из Google публично объявили об уязвимости в версии 3.0 протокола Secure Sockets Layer (SSL). Данная уязвимость позволяет неаутентифицированному удаленному злоумышленнику расшифровать части сообщений, которые зашифрованы с использованием режима работы Cipher Block Chaining (CBC) для блочных шифров. Уязвимость обычно называется Padding Oracle On Downgraded Legacy Encryption (POODLE).

Затронутые продукты

Следующие продукты подвержены уязвимости POODLE:

  • IDENTIKEY Server 3.3, 3.4
  • IDENTIKEY Аутентификационный Сервер 3.4 SR1, 3.5
  • IDENTIKEY Сервер федерации 1.3, 1.4, 1.5
  • IDENTIKEY Appliance 3.2.4. {2,3}, 3.4.5. {0,1}, 3.4.6. {0,1}
  • Виртуальное устройство IDENTIKEY 3.4.6. {0,1}
  • aXsGUARD Gatekeeper (все версии)

Описание

Secure Sockets Layer (SSL) 3.0 - это криптографический протокол, используемый для защиты конфиденциальности и целостности данных, передаваемых по сетям IPv4 и IPv6. 14 октября 2014 года исследователи безопасности из Google публично объявили об уязвимости в протоколе SSL 3.0. Данная уязвимость позволяет удаленному злоумышленнику, не прошедшему проверку подлинности и выполняющему роль посредника, расшифровывать части сообщений, зашифрованных с использованием режима работы Cipher Block Chaining (CBC) для блочных шифров. В частности, эта уязвимость позволяет злоумышленнику расшифровать определенный байт зашифрованного текста не более чем с 256 попытками. Уязвимость существует из-за последовательности шифрования и аутентификации сообщений, а также из-за типа заполнения в SSL 3.0.

Уязвимость обычно называется Padding Oracle On Downgraded Legacy Encryption (POODLE). Это не относится к протоколам TLS.

Этой уязвимости был присвоен общий идентификатор уязвимости и уязвимости (CVE) CVE-2014-3566.

Оценка серьезности

В приведенной ниже таблице указаны оценки уязвимости CVSS 2.0 для различных уязвимостей.

Базовая оценка CVSS: 2,6

Вектор доступа Сложность доступа Аутентификация Влияние на конфиденциальность Влияние целостности Влияние доступности
сеть Высокая Никто частичный Никто Никто

 

CVSS Temporal Score: 2,5
уязвимостей Уровень исправления Сообщить об Уверенности
функциональная Недоступен подтвердил

 

Исправления продукта

OneSpan выпустит следующие патчи:

  • Сервер федерации IDENTIKEY 1.4.4, 1.5.3 от 22 октября 2014 г.

OneSpan выпустит следующие продукты:

  • aXsGUARD Gatekeeper 8.0.0, с 23 октября 2014 г.

Пользователям, использующим IDENTIKEY Federation Server 1.3, рекомендуется обновить IDENTIKEY Federation Server 1.4 или 1.5 и применить соответствующее исправление.

Клиентам, использующим уязвимые версии IDENTIKEY Server или IDENTIKEY Authentication Server, рекомендуется выполнить обновление до IDENTIKEY Authentication Server 3.6, в котором SSL 3.0 по умолчанию отключен. В качестве альтернативы клиенты могут вручную отключить SSL 3.0 и включить TLS 1.x.

Пользователям, использующим уязвимые версии IDENTIKEY Appliance или IDENTIKEY Virtual Appliance, рекомендуется выполнить обновление до IDENTIKEY (Virtual) Appliance 3.4.6.2 или выше, в котором SSL 3.0 по умолчанию отключен.

Клиенты, использующие уязвимые версии aXsGUARD Gatekeeper, могут вручную отключить SSL 3.0 или обновить его до версии 8.0.0, в которой SSL 3.0 по умолчанию отключен.

Место расположения

Для продуктов aXsGUARD Gatekeeper:

OneSpan развернет исправления через службу автоматического обновления. Клиенты, которые не позволяют своей системе получать обновления через эту службу, должны связаться с OneSpan для получения инструкций о том, как получить исправление.

Для других продуктов:

Клиенты с контрактом на техническое обслуживание могут получить фиксированные выпуски продуктов от MyMaintenance. Клиенты без контракта на техническое обслуживание должны связаться с местным торговым представителем.

Ссылка

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

Правовая оговорка

В то время как КАЖДЫЙ РАЗУМНЫЙ УСИЛИЯ СДЕЛАН ДЛЯ ОБРАБОТКИ И ПРЕДОСТАВЛЕНИЯ ТОЧНОЙ ИНФОРМАЦИИ, ВСЕ СОДЕРЖАНИЕ И ИНФОРМАЦИЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ ПРЕДОСТАВЛЯЕТСЯ «КАК ЕСТЬ» И «КАК ДОСТУПНО», БЕЗ КАКИХ-ЛИБО ПРЕДСТАВЛЕНИЯ ИЛИ ПРИГОДНОСТИ ИЛИ В СООТВЕТСТВИИ С ИСПОЛЬЗОВАНИЕМ НИКАКОГО СРОКА ПОЛНОСТЬЮ ИЛИ ПОДХОДА ИЛИ ЛЮБОЙ ГАРАНТИИ, ВКЛЮЧАЯ ГАРАНТИИ ТОВАРНОГО ОБЕСПЕЧЕНИЯ ИЛИ ПРИГОДНОСТИ ДЛЯ ОСОБЕННОГО ИСПОЛЬЗОВАНИЯ ИЛИ ЦЕЛИ. ВЫ ИСПОЛЬЗУЕТЕ ЭТОТ ДОКУМЕНТ, ПРЕДОСТАВЛЯЕТСЯ ЛЮБАЯ ИНФОРМАЦИЯ ИЛИ МАТЕРИАЛЫ, СВЯЗАННЫЕ С ЭТОМ ДОКУМЕНТОМ, НА СВОЙ СТРАХ И РИСК. VASCO оставляет за собой право изменять или обновлять информацию в этом документе в любое время и по своему усмотрению, а также когда новая или дополнительная информация становится доступной.

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Все права защищены.

🖨 Уязвимость SSL 3.0 POODLE в продуктах OneSpan