Ticketbleed – podatność w obsłudze SSL na urządzeniach F5

Ticketbleed

Pamiętacie heartbleed-a? (dzięki błędowi w OpenSSL można było bez uwierzytelnienia odczytywać pamięć z serwera).

Podobny problem załatano niedawno na urządzeniach F5 – różnica jest taka, że jednorazowo można wyciągać do 31 bajtów pamięci z serwera – nie 64k (przy czym można to robić iteracyjnie). A w pamięci mogą znajdować się… różne rzeczy: hasła użytkowników, szczegóły innych połączeń, klucze prywatane…

Ticketbleed – bo tak ochrzchono znalezioną podatność o numerze CVE-2016-9244, został znaleziony… przypadkiem, podczas analizy jednego z problemów zgłoszonego przez klienta.

Na uwagę zwraca też fakt podatnych jest 'zaledwie’ 0.1% wszystkich serwisów w Internecie (np. z Alexa Top 100k – podatnych jest 102 adresów). Zapewne pomaga tutaj tez fakt, że na domyślnej instalacji urządzeń F5 nie mamy Ticketbleeda (wyłączona jest obsługa Session Tickets).

–Michał Sajdak