كشف نقص امنيتی در SSL 3.0

كشف نقص امنيتی در SSL 3.0

تاریخ ایجاد

شماره: IRCNE2014102344
تاريخ: 26/07/93

يك آسيب پذيري در استاندارد رمزگذاري وب SSL نسخه 3.0 توسط محققان امنيتي شركت گوگل كشف شده است كه اين پروتكل براي استفاده به صورت ناامني ارائه مي شود.
اين نقص Poodle نامگذاري شده است و مي تواند براي اجراي حملات MitM آنلاين مورد سوء استفاده قرار بگيرد.
شركت گوگل در پستي توضيح داد كه SSL نسخه 3.0 يك پروتكل 15 ساله است اما بسياري از برنامه ها از اين استاندارد استفاده مي كنند. تقريبا تمامي مرورگرها از اين پروتكل استفاده مي كنند.
در راهنمايي امنيتي آمده است كه عليرغم وجود پروتكل هاي جديدتر مانند TLS 1.0، TLS 1.1و TLS 1.2 اما پروتكل SSL 3.0 به طور گسترده استفاده مي شود.
اگر پروتكل SSL 3.0 بر روي وب سايت ها و در مرورگرهاي وب استفاده مي شود، اين مساله ميي تواند به طور بالقوه براي بسياري از كاربران ايجاد مشكل كند و هكرها راحت تر مي توانند اطلاعات حساس را به دست آورند.
در تنظيمات وب، اين ضعف SSL 3.0 مي تواند توسط يك هكر MitM براي رمزگشايي كوكي هاي امن HTTP مورد سوء استفاده قرار بگيرد.
براي اجتناب از اينگونه حملات، شركت گوگل توصيه مي كند كه كاربران استفاده از پروتكل SSL 3.0 را متوقف نمايند اگرچه گوگل پذيرفته است كه اين راه حل براي عملياتي كه نياز به اجراي سيستم هاي وراثتي دارد مناسب نيست.

برچسب‌ها