Chip 12/19: Špioni v prohlížeči a navíc: Správné strategie zálohování v cloudu

Pudl kouše i do TLS

11.12.2014 08:43 | Karel Kovar

O hrozbě v podobě chyby Poodle jsme vás již informovali. Nyní se ale zdá, že rozsah zranitelnosti je ještě větší naž se čekalo – vůči podobnému útoku jsou zranitelné i některé implementace TLS.

Nedávno objevil tým bezpečnostních výzkumníků ze společnosti Google zavážnou chybu, která by mohla mít vliv na celý internet – podobně jako chyba Heartbleed. Zranitelnost je označována jako pudl (POODLE – Padding Oracle On Downgraded Legacy Encryption). Stejně jako chyba Heartbleed tento útok cílí na SSL šifrování webových stránek, proto se na některých webech začínají objevovat zmínky o „krvácení pudla“.

Tento útok byl podrobně popsán výzkumníky Google, díky čemuž si správci mohli rychle zabezpečit své systémy. Nicméně, protože je dokument dostupný na internetu, dává to také hackerům možnost chybu využít. Útok je zaměřen na SSL verze 3.0: tato varianta sice již byla nahrazena novější verzí před 15 lety, ale i přesto v současnosti mnoho serverů stále tuto starší verzi podporuje. Jedno z řešení problému je snadné: Systémy mohou být okamžitě ochráněny deaktivací podpory SSL 3.0.

Nyní se ale ukazuje, že vůči podobnému útoku zranitelné i některé implementace TLS. Při úspěšném útoku je prolomena šifrovaná komunikace mezi klientem a serverem. Zranitelná by údajně mohla být každá desátá webová stránka. Správcům webových serverů lze doporučit kontrolu svého webu na https://www.ssllabs.com/ssltest/.

Další informace lze njít na stránkách https://www.imperialviolet.org/…leagain.html a https://support.f5.com/…sol15882.htm.