Pozor na pudly. Po Heartbleedu přichází další zranitelnost SSL

Inženýři z Googlu objevili další chybu v návrhu SSL (PDF s podrobnějším popisem). Nazvali ji POODLE – Padding Oracle On Downgraded Legacy Encryption, nebo také Poodlebleed, a týká se starého protokolu SSL 3.0, který je už sice dávno překonaný, ale mnoho serverů a prohlížeče jej stále podporují a nabízejí. V mnoha konfiguracích lze na něj zároveň přestoupit v případě, kdy nastane nějaká chyba.

Pokud na novější verzi protokolu nastane komplikace, obě strany, tedy prohlížeč a server, se mohou pokusit spojit starší cestou. Podobnou komplikaci přitom může vyvolat přímo útočník, vynutit si spojení na zastaralém protokolu a díky chybě POODLE odhalit šifrovaná data.

Jediným spolehlivým řešením je podle Googlu definitivní ukončení podpory SSL 3.0 na webových serverech.

Diskuze (15) Další článek: Autor Anonaboxu nejspíše mlží a znevažuje projekt anonymizační krabičky

Témata článku: , , , , , , , , , ,