Mookameli oa seva sa Jabber jabber.ru (xmpp.ru) o khethile tlhaselo ea ho hlakola sephethephethe sa basebelisi (MITM), e ileng ea etsoa ka nako ea matsatsi a 90 ho isa ho likhoeli tse 6 marang-rang a bafani ba ba amohelang ba Jeremane Hetzner le Linode, ba amohelang seva sa morero le tikoloho ea tlatsetso ea VPS. Tlhaselo e hlophisoa ka ho lebisa sephethe-phethe sebakeng sa lipalangoang se nkang sebaka sa setifikeiti sa TLS bakeng sa likhokahano tsa XMPP tse kentsoeng ka mokhoa o sireletsehileng ho sebelisoa katoloso ea STARTTLS.
Tlhaselo ena e ile ea hlokomeloa ka lebaka la phoso ea bahlophisi ba eona, ba neng ba se na nako ea ho nchafatsa setifikeiti sa TLS se sebelisitsoeng ho senya. Ka la 16 October, mookameli oa jabber.ru, ha a leka ho hokahanya le tšebeletso, o ile a fumana molaetsa oa phoso ka lebaka la ho fela ha setifikeiti, empa setifikeiti se fumanehang ho seva ha sea ka sa fela. Ka lebaka leo, ho ile ha fumaneha hore setifikeiti seo moreki a se fumaneng se fapane le setifikeiti se rometsoeng ke seva. Setifikeiti sa pele sa TLS sa fake se fumanoe ka la 18 Mmesa, 2023 ka ts'ebeletso ea Let's Encrypt, moo mohlaseli, a khona ho thibela sephethephethe, a khonneng ho netefatsa phihlello ea libaka tsa jabber.ru le xmpp.ru.
Qalong, ho ne ho e-na le maikutlo a hore seva sa morero se ne se sekiselitsoe 'me ho ne ho etsoa phetoho ka lehlakoreng la eona. Empa tlhahlobo ha ea ka ea senola mesaletsa ea bosholu. Ka nako e ts'oanang, ka har'a log ho seva, ho ile ha hlokomeloa ho tima nako e khutšoanyane le ho tima sebopeho sa marang-rang (NIC Link ke Down / NIC Link e Up) e ile ea hlokomeloa, e ileng ea etsoa ka July 18 ka 12:58 'me e ka khona ho etsa joalo. bonts'a maqheka ka khokahanyo ea seva ho switjha. Hoa hlokomeleha hore litifikeiti tse peli tsa bohata tsa TLS li entsoe metsotso e seng mekae pejana - ka la 18 Phupu ka 12:49 le 12:38.
Ho phaella moo, ho nkeloa sebaka ha hoa ka ha etsoa feela ka marang-rang a mofani oa Hetzner, o tsamaisang seva se seholo, empa hape le marang-rang a mofani oa Linode, a neng a amohela libaka tsa VPS tse nang le li-proxies tse thusang tse tsamaisang sephethephethe ho tloha liaterese tse ling. Ka tsela e sa tobang, ho ile ha fumanoa hore sephethephethe sa marang-rang sa 5222 (XMPP STARTTLS) marang-rang a bafani ba bobeli se ile sa fetisetsoa ka moeti ea eketsehileng, e leng se ileng sa fana ka lebaka la ho lumela hore tlhaselo e entsoe ke motho ea nang le phihlelo ea lisebelisoa tsa bafani.
Ha ho nahanoa, ho ka be ho entsoe sebaka ho tloha ka la 18 Mmesa (letsatsi la ho theoa ha setifikeiti sa pele sa fake bakeng sa jabber.ru), empa linyeoe tse netefalitsoeng tsa phetisetso ea setifikeiti li tlalehiloe feela ho tloha ka la 21 Phupu ho isa la 19 Mphalane, nako ena eohle e patiloe phapanyetsano ea data. ka jabber.ru le xmpp.ru e ka nkoa e sekiselitsoe . Phatlalatso e ile ea emisa ka mor'a hore lipatlisiso li qale, liteko li ile tsa etsoa 'me kopo ea romeloa tšebeletsong ea tšehetso ea bafani ba Hetzner le Linode ka October 18. Ka nako e ts'oanang, phetoho e eketsehileng ha lipakete tsa ho tsamaisa li romelloa ho port 5222 ea e 'ngoe ea li-server tsa Linode li ntse li hlokomeloa kajeno, empa setifikeiti ha se sa nkeloa sebaka.
Ho nahanoa hore tlhaselo eo e ka be e entsoe ka tsebo ea bafani ka kopo ea mekhatlo ea ts'ebetsong ea molao, ka lebaka la ho qhekella lisebelisoa tsa bafani ba bobeli, kapa mosebeletsi ea neng a e-na le monyetla oa ho fumana bafani ka bobeli. Ka ho khona ho thibela le ho fetola sephethephethe sa XMPP, mohlaseli a ka khona ho fumana lintlha tsohle tse amanang le ak'haonte, joalo ka nalane ea melaetsa e bolokiloeng ho seva, hape a ka romella melaetsa molemong oa ba bang le ho etsa liphetoho melaetsa ea batho ba bang. Melaetsa e rometsoeng ho sebelisoa encryption ea ho qetela (OMEMO, OTR kapa PGP) e ka nkoa e sa senyehe haeba linotlolo tsa encryption li netefalitsoe ke basebelisi mahlakoreng ka bobeli a khokahano. Basebelisi ba Jabber.ru ba eletsoa ho fetola liphasewete tsa bona tsa phihlello le ho sheba linotlolo tsa OMEMO le PGP ka har'a polokelo ea bona ea PEP bakeng sa ho ka nkela sebaka.
Source: opennet.ru