Hlavní navigace

Poodlebleed: kritická chyba ve starém SSL 3.0

15. 10. 2014

Sdílet

Trojice zaměstnanců Googlu objevila další závažnou bezpečnostní chybu, která je přítomna ve starší a nepříliš používané verzi protokolu SSL 3.0. Chyba byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a za pro útočníka ideálních podmínek umožňuje získat obsah cookies protistrany. Samotné provedení útoku je poměrně komplikované, podrobnosti naleznete ve zprávě od objevitelů chyby (PDF).

SSL 3.0 už dávno nahradily pokročilejší protokoly jako TLS, ale mnohdy je stále podporováno. Útočník tak může software oběti zmanipulovat tak, aby si myslel, že komunikaci přes TLS není možné navázat a donutí ho komunikovat po starším SSL 3.0. Autoři navrhují celkem přímočaré řešení, a to komunikaci přes SSL 3.0 úplně zakázat. Google už tak v prohlížeči Chrome aktualizací učinil. Na webu PoodleBleed.com také můžete zkontrolovat, zda je vybraný server zranitelný.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.

Byl pro vás článek přínosný?

Autor zprávičky

Bývalý redaktor serveru Root.cz, dnes produktový manažer a konzultant se zaměřením na Bitcoin a kryptoměny.