SSL בישראל – אתרים שלא תיקנו פגיעויות

כחלק מפרויקט SSL in Israel שלי, להלן האתרים שעדיין, נכון לתאריך העדכון של כל רשומה רלוונטית, מכילים פגיעות על פי דו"ח SSL Labs, למרות שבעלי האתר קיבלו הודעה על הפגיעות ו-30 ימים קלנדרים לתיקון, אך ימים אלו חלפו והפגיעות נשארה.
כל שורה בטבלה שלהלן מכילה פגיעות אחת בלבד, כך שיכול להיות שלאתר מסוים יהיו יותר משורה אחת במידה ויש לו יותר מפגיעות אחת.
כמו כן ייתכן והאתרים שמופיעים כאן עדיין לא פורסמו בגרסה האחרונה של קובץ האקסל הכללי של הפרויקט, אך זה לא ממש רלוונטי כי בעלי האתרים בכל מקרה קיבלו הודעה על כל פגיעות ואת 30 הימים לתיקון.
(בחרתי בכוונה להשאיר את הטבלה בגודל המקורי שלה, כך שהיא חורגת מרוחב עמוד הבלוג, בכדי לאפשר לכם לראות את הטבלה בשלמותה, אם כי ייתכן ותצטרכו לבצע "הרחקה/Zoom Out" של תצוגת העמוד על ידי הדפדפן שלכם. אחרת, אם הייתי מאלץ את הטבלה לרוחב העמוד, הייתם רואים בכל פעם רק חלק מהטבלה והייתם צריכים לגלול לצדדים כל הזמן, מצב שנראה לי פחות יעיל)

נכון לפרסום בתאריך 14 ליולי 2017, אלו הגופים שעדיין יש להם פגיעויות:
בנק דיסקונט – בנק
דואר ישראל (בנק הדואר) – דואר ובנק
CreditGuard – סליקת כרטיסי אשראי
Tranzila – סליקת כרטיסי אשראי

עדכונים:
22/7/17 – השרת host.creditguard.co.il הוסר מהטבלה מאחר ורשומת ה-DNS שלו נמחקה ולכן האתר לא נגיש כעת ׁׁ(לכל הפחות על בסיס שם דומיין)

11/8/17 – השרת bank.postil.com הוסר מהטבלה מאחר ואינו עונה בגישת HTTPS, כלומר לא עונה לפורט 443 TCP

 

 

Record update dateLast Date to fixDate of disclosureReport LinkThe issueSite Essence (Assumed)NameSiteOrdinal Number
14/07/201718/05/201718/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=swd.discountbank.co.il&hideResults=onVulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107)Secure file transfer system by WatchDox (now Blackberry)Discount Bankhttps://swd.discountbank.co.il1
14/07/201725/05/201725/04/2017https://www.ssllabs.com/ssltest/analyze.html?d=tashlumim.bankhadoar.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)SSL VPNBank Hadoarhttps://tashlumim.bankhadoar.co.il2
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgmpi.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)"CreditGuard Redirect Integration System (UAT)"CreditGuardhttps://cgmpi.creditguard.co.il4
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)CreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il5
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgfraudguard.creditguard.co.il&hideResults=onVulnerable to MITM attacks because it supports insecure renegotiationCreditGuard FraudGuardCreditGuardhttps://cgfraudguard.creditguard.co.il6
14/07/201727/06/201727/05/2017https://www.ssllabs.com/ssltest/analyze.html?d=cgpay3.creditguard.co.il&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownCreditGuardhttps://cgpay3.creditguard.co.il8
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onVulnerable to the POODLE attack (SSLv3)UnknownTranzilahttps://secure.tranzila.com9
14/07/201705/07/201705/06/2017https://www.ssllabs.com/ssltest/analyze.html?d=secure.tranzila.com&hideResults=onOpenSSL CCS vulnerability (CVE-2014-0224)UnknownTranzilahttps://secure.tranzila.com10

Share via emailShare on Tumblr Share

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *