forum.opennet.ru

Составление сообщения

Исходное сообщение

"Let's Encrypt опубликовал описание атаки и план по устранени..."
Отправлено opennews, 10-Янв-18 21:12

Сервис Let's Encrypt опубликовал (https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...) описание уязвимости, из-за которой сегодня утром был отключен (https://www.opennet.ru/opennews/art.shtml?num=47882) метод проверки  владения доменом TLS-SNI-01.

Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом.
Например, если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайны токен, сгенерировать проверочный одноразовый сертификат и загрузить его для домена "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки сервер ACME  определит IP-адрес домена example.com и отправит на него HTTPS-запрос проверочного домена "токен.acme.invalid"  с использованием расширения SNI. Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует домен example.com.

Разработчики Let's Encrypt намерены вернуть поддержку  TLS-SNI-01 как только будут абсолютно уверены в безопасности предпринятых мер защиты, так как он является востребованным методом проверки. Пока в качестве пути для решения проблемы называется работа с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля за доменами пользователей. Представители Let's Encrypt  уже связались с провайдерами, у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В течение 48 часов будет представлен список проблемных провайдеров и связанных с ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена для всех адресов, за исключением чёрного списка.
URL: https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...
Новость: http://www.opennet.ru/opennews/art.shtml?num=47883

Исходное сообщение
"Let's Encrypt опубликовал описание атаки и план по устранени..." Отправлено opennews, 10-Янв-18 21:12
Сервис Let's Encrypt опубликовал (https://community.letsencrypt.org/t/2018-01-09-issue-with-tl...) описание уязвимости, из-за которой сегодня утром был отключен (https://www.opennet.ru/opennews/art.shtml?num=47882) метод проверки владения доменом TLS-SNI-01. Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном хостинге в рамках одного виртуального хоста, доступного через тот же IP, что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена без подтверждения владения этим доменом. Например, если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить случайны токен, сгенерировать проверочный одноразовый сертификат и загрузить его для домена "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки сервер ACME определит IP-адрес домена example.com и отправит на него HTTPS-запрос проверочного домена "токен.acme.invalid" с использованием расширения SNI. Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует домен example.com. Разработчики Let's Encrypt намерены вернуть поддержку TLS-SNI-01 как только будут абсолютно уверены в безопасности предпринятых мер защиты, так как он является востребованным методом проверки. Пока в качестве пути для решения проблемы называется работа с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля за доменами пользователей. Представители Let's Encrypt уже связались с провайдерами, у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В течение 48 часов будет представлен список проблемных провайдеров и связанных с ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена для всех адресов, за исключением чёрного списка. URL: https://community.letsencrypt.org/t/2018-01-09-issue-with-tl... Новость: http://www.opennet.ru/opennews/art.shtml?num=47883

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Сервис Let's Encrypt опубликовал (https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996) 
> описание уязвимости, из-за которой сегодня утром был отключен (https://www.opennet.ru/opennews/art.shtml?num=47882) 
> метод проверки  владения доменом TLS-SNI-01.

> Уязвимость позволяла получить сертификат на чужой домен, обслуживаемый на том же совместном 
> хостинге в рамках одного виртуального хоста, доступного через тот же IP, 
> что и сайт атакующего. При этом уязвимость затрагивает только хостинги, на 
> которых на одном IP поднято несколько виртуальных хостов и пользователю предоставлены 
> средства для загрузки в настройки http-сервера сертификатов с произвольным именем домена 
> без подтверждения владения этим доменом.

> Например, если атакующий имеет доступ к хостинг-окружению, что и сайт жертвы (например, 
> "example.com"), то он может запустить клиент ACME, инициировать проверку TLS-SNI-01, получить 
> случайны токен, сгенерировать проверочный одноразовый сертификат и загрузить его для домена 
> "токен.acme.invalid" в конфигурацию общего web-сервера. Далее в рамках процедуры проверки 
> сервер ACME  определит IP-адрес домена example.com и отправит на него 
> HTTPS-запрос проверочного домена "токен.acme.invalid"  с использованием расширения SNI. 
> Http-сервер провайдера на данный запрос вернёт загруженный атакующим сертификат, что для 
> ACME-сервера станет подтверждением владения доменом, хотя фактически атакующий не контролирует 
> домен example.com.

> Разработчики Let's Encrypt намерены вернуть поддержку  TLS-SNI-01 как только будут абсолютно 
> уверены в безопасности предпринятых мер защиты, так как он является востребованным 
> методом проверки. Пока в качестве пути для решения проблемы называется работа 
> с хостинг-провайдерами, у которых используются недостаточно надёжные механизмы контроля 
> за доменами пользователей. Представители Let's Encrypt  уже связались с провайдерами, 
> у которых проявляется проблема, и согласовывают пути по устранению уязвимости. В 
> течение 48 часов будет представлен список проблемных провайдеров и связанных с 
> ними IP-адресов. После завершения формирования списка, поддержка TLS-SNI-01 будет возвращена 
> для всех адресов, за исключением чёрного списка.

> URL: https://community.letsencrypt.org/t/2018-01-09-issue-with-tls-sni-01-and-shared-hosting-infrastructure/49996 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=47883

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру