Компания Cisco сообщила , что два ее программных продукта Cisco ASA (Adaptive Security Appliance) и модуль Cisco Application Control Engine (ACESM) уязвимы к новому виду атаки по TLS с эксплуатацией бреши POODLE.
Уязвимость возникла в результате некорректной реализации паддинга блочного шифра в протоколе TLSv1 при использовании режима сцепления блоков шифротекста (Cipher Block Chaining). Эксплуатация бреши позволяет неавторизованному киберпреступнику расшифровать содержимое защищенного канала коммуникации и получить доступ к важным данным.
По словам разработчика, в серии Cisco ACE 4700 данная проблема не обнаружена, но компания предупреждает, что некоторые сканеры могут идентифицировать эти программные продукты как уязвимые. Cisco планирует выпустить обновления, исправляющие брешь, но когда это произойдет пока не уточняется. О том, что POODLE можно эксплуатировать для атак по TLS стало известно в октябре этого года, вскоре после того, как уязвимость была обнаружена. Как пояснил специалист Google Адам Лэнгли (Adam Langley), паддинг в TLS представляет собой модифицированную версию паддинга в SSL 3.0. (Cisco/NovostIT)
