- Регистрация
- 31.07.13
- Сообщения
- 368
- Реакции
- 514
- Депозит
- 0
- Покупок
-
0
- Продаж
-
7
Страсти по недавно обнаруженной Heatbleed уязвимости в OpenSSL не утихают. Вчера на появилось сообщение о том, что исследователям удалось совершить несколько успешных атак на сервер OpenVPN и скомпрометировать приватный ключ, который используется сервером для расшифровки отправленного клиентом трафика.
Ранее разработчики OpenVPN уже предупреждали пользователей, что продукт использует библиотеку OpenSSL и является уязвимым для этой атаки. Но до вчерашнего дня не было никакой публичной информации о том, что атака действительно может быть успешно реализована.
Исследователи продемонстрировали возможность подделать удаленный сервер через полученный приватный ключ, а также расшифровать с помощью него данные, проходящие между настоящим сервером VPN и самим пользователем. Для проведения атаки использовалась следующая тестовая конфигурация сервера: ОС Ubuntu 12.04 (виртуализация через KVM) OpenVPN 2.2.1 и OpenSSL 1.0.1-4ubuntu5.11.
Однако, следует уточнить, что такая атака не будет работать против сеансов с включенной опцией аутентификации через TLS, так как в этом случае используется отдельный приватный ключ для шифрования трафика.
Ранее разработчики OpenVPN уже предупреждали пользователей, что продукт использует библиотеку OpenSSL и является уязвимым для этой атаки. Но до вчерашнего дня не было никакой публичной информации о том, что атака действительно может быть успешно реализована.
Исследователи продемонстрировали возможность подделать удаленный сервер через полученный приватный ключ, а также расшифровать с помощью него данные, проходящие между настоящим сервером VPN и самим пользователем. Для проведения атаки использовалась следующая тестовая конфигурация сервера: ОС Ubuntu 12.04 (виртуализация через KVM) OpenVPN 2.2.1 и OpenSSL 1.0.1-4ubuntu5.11.
Однако, следует уточнить, что такая атака не будет работать против сеансов с включенной опцией аутентификации через TLS, так как в этом случае используется отдельный приватный ключ для шифрования трафика.
