POODLE - krytyczna podatność SSLv3
Transkrypt
POODLE - krytyczna podatność SSLv3
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/724,POODLE-krytyczna-podatnosc-SSLv3.html Wygenerowano: Wtorek, 7 marca 2017, 22:32 POODLE - krytyczna podatność SSLv3 Badacze z firmy Google udostępnili informację o ataku na protokół SSLv3 nazwanym POODLE - Padding Oracle On Downgraded Legacy Encryption. Atak jest skierowany przeciwko szyfrom wykorzystującym tryb szyfrowania CBC (Cipher Block Chaining) i pozwala atakującemu na odszyfrowanie danych przekazywanych za pomocą połączenia SSLv3 poprzez przeprowadzenie ataku typu Man in the Middle (MITM). Większość zabezpieczonych połączeń używa protokołu TLS, który jest następcą protokołu SSL, lecz część przeglądarek internetowych i serwerów w przypadku, gdy występuje problem z wynegocjowaniem sesji TLS, zaczyna korzystać z podatnego protokołu SSLv3, tym samym narażając użytkowników na atak. Witryny, które wspierają SSLv3 i szyfry wykorzystujące tryb szyfrowania CBC są potencjalnym celem ataku aktywnego MITM (nawet w przypadku, gdy strona wspiera TLS). Witryny, które wspierają SSLv3 i nie wspierają TLS, są nie tylko podatne, ale także przyczyniają się do zachowania wsparcia przez producentów przeglądarek internetowych do obsugi protokołu SSL 3.0. Użytkownicy dla własnego bezpieczeństwa powinni wyłączyć obsługę SSLv3 w używanych przeglądarkach internetowych. ● ● ● Mozilla Firefox :: pasek adresu: "about:config" -> security.tls.version.min = "1" Google Chrome :: uruchomienie przeglądarki z parametrem --ssl-version-min=tls1 Internet Explorer :: Panel Sterowania -> Opcje Internetowe -> Zaawansowane -> odznaczyć "Użyj SSL 3.0". Poniżej zaprezentowany został zbiór przydatnych odnośników, związanych z POODLE: ● ● ● ● Narzędzia do sprawdzenia podatności online: https://www.poodletest.com/ Dokładne Informacje techniczne o podatności: https://www.imperialviolet.org/2014/10/14/poodle.html Porady dotyczące zabezpieczenia przeglądarek internetowych przed korzystaniem z SSLv3: https://zmap.io/sslv3/browsers.html Porady dotyczące zabezpieczenia usług serwerowych przed downgrade'owaniem połączenia do SSLv3: https://zmap.io/sslv3/servers.html blad, SSL/TLS, podatność Ocena: 5/5 (5)