POODLE
POODLE atağı(Açılımı Padding Oracle On Downgraded Legacy Encryption) web tarayıcılarının SSL 3.0 mekanizmasının avantajından faydalanan ortadaki adam atağıdır.
Eğer saldıranlar başarılı bir şekilde bu açıklığı geçebilirlerse, ortalama olarak, şifrelenmiş mesajın bir baytını ortaya çıkarabilmek için sadece 256 SSL 3.0 sorgusu yapmaya ihtiyaç duyarlar.
Bu saldırı Bodo Möller, Tha Duong ve Krzystof Kotowicz (Google Güvenlik Ekibi) tarafından keşfedildi. Atak Heartbleed ve Shellshcok atakları kadar ciddiye alınmadı. Bu açığın CVE(Ortak güvenlik açıkları ve tespitler) numarası CVE-2014-3566.
Yavaş bozulmadan faydalanma
POODLE birlikte çalışabilirlik adına güvenliği azaltmak için tasarlanmış bir mekanizmanın olmasından dolayı başarılı olmuş bir güvenlik açığı örneğidir.
POODLE gibi oluşan açıklar yüksek seviyede fragmantasyon barındırarak tasarlanan sistemler olduğunda daha fazla dikkat gerektirir. Bu gibi sistemlerde yavaş bozulma güvenlik açığı yaygın hale gelebilir.[1]
Korunma
POODLE atağını hafifletmek için, SSL 3.0'ı sunucu ve istemci tarafında tamamen sorgulayamaz ve cevap alamaz haline getirmektir. Bununla birlikte bazı eski istemciler ve sunucular zaten TLS 1.0 ve üzerini desteklememektedir. Dolayısı ile POODLE atağına maruz kalmamaktadır. Bu yüzden POODLE atağının yazarları tarayıcıları ve sunucuları TLS_FALLBACK_SCSV,[2] gerçekleştirimi içinde desteklemektedir.
Diğer hafifletme yolu "anti POODLE kayıt bölmeleme" sini gerçekleştirmektir. Kayıtları birçok parçaya ayırır ve onların hiçbirinin saldırıya uğramadığından emin olur. Bununla birlikte bölmelemenin problemi, belirli geçerli kayıtlar olmasına rağmen, sunucu taraflı gerçekleştirimlerdeki[3] problemler yüzünden uyumluluk problemlerine yol açabilecek olmasıdır. opera25 bu hafifletme gerçekleştirimine sahiptir.[4]
Google'ın Chrome Tarayıcısı ve onların sunucuları çoktan SCSV yi desteklemektedir ve Google ssl 3.0 desteğini birkaç ay içinde ürünlerinin tamamından kaldırmayı planlamaktadır [5] ve Mozilla da SSL 3.0'ı Firefox 34(Kasım 2014'te piyasaya sürülecek)'den kaldıracaktır ve SCSV'nin desteği Firefox 35'e eklenecektir.[6] Microsoft SSL 3.0'ı internet explorer ve Windows İşletim sisteminden nasıl kaldıracağını açıklayan güvenlik bildirisi yayınlamıştır.[7]
Bazı web sunucuları SSL 3.0 desteğini POODLE atağını önlemek için kaldırdı, CloudFlare gibi.[8]
OpenSSL version 1.0.1j, 1.0.0o ve 0.9.8zc Ekim 15 2014 e TSL FALLBACK SCSV için desteğini içeren sürümü yayınlanacak.[9]
Bakınız
Referanslar
- ^ Hagai Bar-El. "Poodle flaw and IoT". 27 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ Bodo Moeller and Adam Langley (Haziran 4, 2014). "draft-ietf-tls-downgrade-scsv-00 - TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks". 13 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 2014-10-15.
- ^ Langley, Adam (14 Oct 2014). "POODLE attacks on SSLv3". 8 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2014.
- ^ Molland, Håvard (2014-10-15). "Security changes in Opera 25; the poodle attacks". Opera. 22 Ekim 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 16 Ekim 2014.
- ^ Bodo Möller (Ekim 2014, 2014). "This POODLE bites: exploiting the SSL 3.0 fallback". 20 Ocak 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 2014-10-15. Tarih değerini gözden geçirin:
|tarih=(yardım) - ^ "The POODLE Attack and the End of SSL 3.0". 2014-10-14. 10 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 2014-10-15.
- ^ "Vulnerability in SSL 3.0 Could Allow Information Disclosure". 2014-10-14. 6 Nisan 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 2014-10-15.
- ^ Prince, Matthew (14 Oct 2014). "SSLv3 Support Disabled By Default Due to POODLE Vulnerability". 23 Mart 2016 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.
- ^ "OpenSSL Security Advisory [15 Ekim 2014]". OpenSSL. 13 Ağustos 2015 tarihinde kaynağından arşivlendi. Erişim tarihi: 15 Ekim 2014.