Ticketbleed

Новая уязвимость получила громкое название Ticketbleed, в честь знаменитой проблемы Heartbleed, обнаруженной в 2014 году. К счастью, в случае Ticketbleed масштабы происходящего не так велики, ведь баг был обнаружен только в решениях BIG-IP, производства компании F5 Networks. Полный список уязвимых продуктов можно найти на сайте компании.

В чем же проблема? Дело в том, что отправляя уязвимым сайтам специально созданные пакеты, атакующий может извлекать небольшие куски данных из памяти веб-серверов (не более 31 байта за раз). Повторив эту операцию многократно, злоумышленник в итоге сможет извлечь секретные ключи и другие «тайны», которые хранят HTTPS-сессии.