POODLE ny attack mot TLS/SSL

För några månader sedan så skrev vi om en ändring som genomfördes till TLS-protokollet som heter SCSV som försvårar nedgraderingsattacker. Jag anade redan då att Google hade genomfört en attack mot TLS/SSL och det har nu visat sig stämma.

”This POODLE bites”: CVE-2014-3566.

Poodle står för Padding Oracle On Downgraded Legacy Encryption.

Attacken nyttjar det sätt som CBC används i SSL 3.0 och en eventuell angripare måste ha tillgång till anslutningen (mitm) såsom en statlig aktör eller på ett café. Samt så nyttjar POODLE det faktum att anslutningar går att nedgradera (nedgraderingsattack/dans).

Läs dokumentet som beskriver attacken i detalj här (PDF):

POODLE

 

Turligt nog är detta dödsstöten för SSL 3.0 som många har väntat på. Ungefär 0.6% av användarna på internet surfar med en webbläsare som högst stödjer detta.

Även gick OpenSSL ut idag med en ny varning om en sårbarhet som uppdagats:

SRTP Memory Leak (CVE-2014-3513)

Läs mer här: www.openssl.org/news/secadv_20141015.txt

One comment

  1. Pingback: Ny attack mot SSL/TLS: Poodle – SSL-Certifikat blogg

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>