Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 без знания ключа

Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 без знания ключа

До первой ротации ключа TLS-сервер при формировании сессионных ключей продолжает использовать некорректные данные вместо ключа шифрования, полученного от приложения, что позволяет атакующему обойти аутентификацию в TLS 1.3 и возобновить прошлые сеансы в режиме TLS 1.2.
+ +13 -

Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети

Уязвимость в UPnP, подходящая для усиления DDoS-атак и сканирования внутренней сети

Протокол UPnP определяет механизм для автоматического обнаружения устройств в локальной сети и взаимодействия с ними. При этом протокол изначально спроектирован для использования во внутренних локальных сетях и не предусматривает каких-либо форм аутентификации и проверки.
+ +12 -