H Inter Engineering σας ενημερώνει για μία νέα ευπάθεια η οποία έχει ανακαλυφθεί στο πρωτόκολλο SSL v3.
H ευπάθεια ονομάζεται “Poodle” ή CVE-2014-3566.
Το πρωτόκολλο SSLv3 υπάρχει ενεργοποιημένο στους περισσότερους browsers της αγοράς καθώς και τους web servers. Τις περισσότερες φορές βέβαια δεν χρησιμοποιείται το SSLv3 για την κρυπτογραφημένη επικοινωνία client-server, αλλά τα πιο καινούργια πρωτόκολλα TSL 1.0, TLS 1.1, TLS 1.2. Οι browsers θα προσπαθήσουν να χρησιμοποιήσουν το SSLv3 μόνο εάν αποτύχει η σύνδεση με τα TLS πρωτόκολλα.
Ενας επιτιθέμενος θα μπορούσε να προκαλέσει επίτηδες αποτυχία στην σύνδεση με TLS ώστε να αναγκάσει την επικοινωνία να γίνει σε SSLv3. Για να πετύχει κάτι τέτοιο θα πρέπει να παρέμβει στην επικοινωνία browser και server (Man in the Middle attack), το οποίο δεν είναι εύκολο σε εταιρικά δίκτυα ή γενικότερα σε κλειστά δίκτυα. Θα ήταν ευκολότερο όμως σε ανοιχτά δίκτυα όπως δημόσια WiFi σε αεροδρόμια, καφετέριες, κλπ.
Η επιτυχής εκμετάλλευση της ευπάθειας, επιτρέπει στον επιτιθέμενο να συνδεθεί με τον λογαριασμό του χρήστη στον server. Εάν, είτε ο browser είτε ο server δεν χρησιμοποιεί SSLv3 πρωτόκολλο για κρυπτογραφημένη επικοινωνία τότε η εκμετάλευση της ευπάθειας δεν είναι δυνατή.
Οι γενικές οδηγίες για την αντιμετώπιση της ευπάθειας από τους χρήστες είναι να απενεργοποιήσουν την χρήση του SSLv3 στους browsers τους, ακολουθώντας τις οδηγίες του κατασκευαστή του browser. Στο παρακάτω link θα βρείτε γενικές οδηγίες για τους πιο δημοφιλής browsers.
https://zmap.io/sslv3/browsers.html
Για τους administrators των web-servers και άλλων συσκευών που χρησιμοποιούν web services οι γενικές οδηγίες είναι να απενεργοποιήσουν την χρήση SSLv3 στον web server σύμφωνα με τις οδηγίες του κατασκευαστή.
Περισσότερες Πληροφορίες για το “POODLE”
http://googleonlinesecurity.blogspot.ie/2014/10/this-poodle-bites-exploiting-ssl-30.html?
http://blog.erratasec.com/2014/10/some-poodle-notes.html#.VEDWihb0qMt
