ضعف ساختاری در SSL v3.0

آسیب پذیری Poodle در طراحی پروتکل SSL v3.0 ، توسط محققان گوگل افشا شد (CVE-2014-3566). این آسیب پذیری منجر به حمله Man-in-the-Middle به اتصالات SSL v3.0 می شود، البته خود حمله از نوع client-side است. توصیه می شود که از TLS به جای SSL استفاده شود. با این حال معمولاً پروتکل میان کلاینت و سرور به صورت توافقی تعیین می شود لذا اگر سرور این نسخه آسیب پذیر را پشتیبانی کند نفوذگر می تواند آن را مجبور به استفاده از این نسخه نماید. به نظر می رسد که در مجموع این آسیب پذیری از Heartbleed (خونریزی قلبی) اثر مخرب کمتری داشته باشد.

اطلاعات بیشتر:

https://access.redhat.com/articles/1232123

https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

 

اشتراک گذاری

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.