Уязвимость CVE-2002-20001 Diffie-Hellman Ephemeral Key Exchange DoS Vulnerability (SSL/TLS, D(HE)ater) использует механизм реализации протокола обмена ключами Diffie-Hellman Key Exchange (DHE). Злоумышленник со стороны клиента может отправлять на сервер произвольную последовательность под видом открытого ключа, вызывая повышение загрузки CPU сервера вычислениями протокола DHE. Согласно методике оценки уязвимостей (CVSS) она имеет высокую, но не критичную оценку (7.5) и влияет на доступность ресурса, при этом конфиденциальность данных и целостность ресурса не находятся под угрозой. Эффективность потенциальной атаки с использованием этой уязвимости во многом зависит от типа используемого криптографического протокола, конкретной реализации системной библиотеки, а также размера ключа, используемого во время обмена ключами. В базовым сценарии атаки клиент запрашивает использование только протокола DHE и максимально возможную длину ключа.

В решениях UserGate используется протокол DHE. Анализ воздействия уязвимости на конкретную реализацию DHE в оборудовании UserGate не показал ее влияния на производительность. В качестве дополнительных мер безопасности можно сделать следующее:

• Отключить протокол DHE в настройках используемых профилей SSL для удаленного доступа к устройству. Вместо DHE могут использоваться протоколы RSA (для поддержки устаревших приложений) и/или ECDHE.

• Ограничить количество и тип DH групп в настройках профилей безопасности VPN только реально используемыми.