Обнаружена уязвимость SSL
Группа экспертов Лаборатории средств безопасности и криптографии (LASEC) политехнического университета Лозанны, Швейцария, обнаружила ошибки в стандартном протоколе SSL (протокол защищенных сокетов). Ученые утверждают, что имели вожможность декодировать информацию, обмен которой между клиентом и сервером шел в течение часа. Таким образом получено практическое подтверждение уязвимости протокола, безопасность которого уже ставилась под сомнение.Суть проблемы была выявлена следующим образом: исследователи проводили мониторинг действий SSL-сервера при приеме фальшивых пакетов данных. Замеряя время реакции сервера, ученые смогли определить содержимое пакетов. Затем был сгенерирован пароль доступа к защищенной передаче данных между почтовым сервером IMAP4 и программой Outlook Express 6. Теоретически появляется возможность замены реальных почтовых сообщений поддельными.
Данные исследования переданы руководству проекта OpenSSL и разработчики уже предложили заплатки OpenSSL версий 0.9.7 и 0.9.6i, в которых проблема устранена.
Источник: по материалам pressetext.europe