POODLE
POODLE (zkratka z anglického „Padding Oracle On Downgraded Legacy Encryption“, doslova „Útok výplňovým orákulem na degradované historické šifrování“) je zranitelnost na úrovni protokolu, která umožňuje útok man in the middle na komunikaci protokolem SSL verze SSL 3.0, respektive i na komunikaci protokolem TLS, pokud klient a server povolují za účelem zpětné kompatibility jeden druhému vynucení přechodu na starší protokol SSL 3.0.
Historický kontext útoku
editovatZranitelnost byla zveřejněna společností Google dne 14. října 2014[1], byla mírně podobná předchozí zranitelnosti BEAST útočící rovněž na výplň v režimu CBC[2] a v rámci databáze CVE jí bylo přiděleno označení CVE-2014-3566[3]. Pro výrobce webových prohlížečů byla podnětem k vypnutí podpory SSL 3.0[4][5] a jako jeden z hlavních důvodů, proč je zapotřebí zakázat používání protokolu SSL 3.0, ji uvádí i RFC 7525 z května 2015.[6]
Protokol SSL 3.0 byl vyvíjen firmou Netscape a vydán ve své konečné podobě v roce 1996[7]. Jeho nástupce, protokol TLS, byl standardizován již v roce 1999 jako RFC 2246[8], ovšem v době objevení útoku POODLE byl z důvodu zpětné kompatibility stále ještě SSL 3.0 v software široce podporován a to jak na straně tehdy nejpoužívanějších prohlížečů (Mozilla Firefox, Internet Explorer, Google Chrome, Safari, …), tak na straně nejpoužívanějších webových serverů (Apache, Nginx, Internet Information Services, …). Kromě webových služeb se protokoly TLS/SSL používají i pro zabezpečení řady dalších protokolů vyšší úrovně
Odkazy
editovatReference
editovat- ↑ MÖLLER, Bodo; DUONG, Thai; KOTOWICZ, Krzysztof. This POODLE Bites: Exploiting The SSL 3.0 Fallback [online]. Google [cit. 2017-05-03]. Dostupné v archivu pořízeném dne 2014-10-14. (anglicky)
- ↑ MIKLE, Ondrej. POODLE útok na SSLv3. www.root.cz [online]. root.cz, 2014-10-20 [cit. 2017-05-03]. Dostupné online.
- ↑ CVE-2014-3566 [online]. databáze CVE [cit. 2017-05-03]. Dostupné online. (anglicky)
- ↑ Google bude bojovat s Poodle, zruší podporu SSLv3 v Chrome. www.root.cz [online]. root.cz, 2014-03-11 [cit. 2017-05-03]. Dostupné online.
- ↑ JELÍNEK, Lukáš. Firefox 34: komunikační klient Hello, vývojové prostředí WebIDE a vypnutí SSL 3. www.linuxexpres.cz [online]. Linux Expres, 2014-12-2 [cit. 2017-05-03]. Dostupné online.
- ↑ Recommendations for Secure Use of Transport Layer Security (TLS) and Datagram Transport Layer Security (DTLS). Request for Comment [online]. 2015-05 [cit. 2017-05-03]. Dostupné online. ISSN 2070-1721. (anglicky)
- ↑ RFC 6102: The Secure Sockets Layer (SSL) Protocol Version 3.0. Request for Comment [online]. Dostupné online. ISSN 2070-1721.
- ↑ The TLS Protocol Version 1.0. Request for Comment [online]. ISSN 2070-1721.