17. 10. 2014

Pracovníci Google odhalili závažnou chybu v zabezpečení šifrované komunikace, kterou označili POODLE (Padding Oracle On Downgraded Legacy Encryption). Přestože je protokol SSL 3.0 již téměř 15 let starý a je dávno nahrazen novější verzi protokolu TLS, je stále využíván z hlediska kompatibility v mnoha webových službách k ochraně komunikace mezi uživatelem a internetovou stránkou. K tomuto zabezpečení starým SSL dochází, pokud z nějakého důvodu nelze navázat spojení pomocí nového protokolu TLS.

Charakteristika zranitelnosti

Útočník v pozici „man-in-the-middle“ může záměrně vynutit sestavení spojení tak, aby byl využíván pro zabezpečenou komunikaci starší SSL 3.0 protokol. Šifrování v SSL 3.0 využívá buď proudovou šifru RC4, nebo blokovou šifru v CBC módu, které svými vlastnostmi umožňují útočníkovi získat některá přenášená data.

Postižené systémy

Všechny systémy, které umožňují používat (neblokují) protokol SSL 3.0 pro zabezpečenou komunikaci.

Dopad zranitelnosti

Chyba umožňuje útočníkovi získat informace uživatelů, jako například přihlašovací údaje k různým službám z obsahu cookies.

Řešení

Zakázat používání SSL 3.0 protokolu. Využívat nejnovější verze protokolu TLS.

CVE

CVE-2014-3566

Odkazy

https://www.openssl.org/~bodo/ssl-poodle.pdf
http://www.troyhunt.com/2014/10/everything-you-need-to-know-about.html
http://googleonlinesecurity.blogspot.de/2014/10/this-poodle-bites-exploiting-ssl-30.html
http://securityaffairs.co/wordpress/29254/security/ssl-3-0-poodle.html