POODLE ny attack mot TLS/SSL

För några månader sedan så skrev vi om en ändring som genomfördes till TLS-protokollet som heter SCSV som försvårar nedgraderingsattacker. Jag anade redan då att Google hade genomfört en attack mot TLS/SSL och det har nu visat sig stämma.

”This POODLE bites”: CVE-2014-3566.

Poodle står för Padding Oracle On Downgraded Legacy Encryption.

Attacken nyttjar det sätt som CBC används i SSL 3.0 och en eventuell angripare måste ha tillgång till anslutningen (mitm) såsom en statlig aktör eller på ett café. Samt så nyttjar POODLE det faktum att anslutningar går att nedgradera (nedgraderingsattack/dans).

Läs dokumentet som beskriver attacken i detalj här (PDF):

POODLE

 

Turligt nog är detta dödsstöten för SSL 3.0 som många har väntat på. Ungefär 0.6% av användarna på internet surfar med en webbläsare som högst stödjer detta.

Även gick OpenSSL ut idag med en ny varning om en sårbarhet som uppdagats:

SRTP Memory Leak (CVE-2014-3513)

Läs mer här: www.openssl.org/news/secadv_20141015.txt

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

One comment

  1. Pingback: Ny attack mot SSL/TLS: Poodle – SSL-Certifikat blogg

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>