شماره: IRCNE2014122399
تاريخ: 25/09/93
Adam Langley، از شركت گوگل اظهار داشت كه بسياري از پياده سازي هاي TLS نسبت به حملات مشابه POODLE آسيب پذير هستند. حملات POODLE چند ماه پيش نسخه 3 پروتكل SSL را هدف قرار داده بود.
در پروتكل SSLv3 عمليات رمزگذاري داده در مد CBC به طور موثر مشخص نشده بود. در نتيجه فقدان مشخصات موثر باعصث شده بود تا اين پروتكل نسبت به حملات oracle آسيب پذير باشد.
پس از SSL نسخه 3، پروتكل TLS نسخه 1.0 معرفي شد. در اين پروتكل مشخصات رمزگذاري به طور كامل مشخص شده بود و در نتيجه مي توانست با حملات oracle مقابله كند.
اما به تازگي مشخص شده است كه برخي پياده سازي هاي TLS عليرغم قابليت بررسي بايت هاي رمزگذاري شده هم چنان اين بررسي را انجام نمي دهند.
تاكنون گزارشي مبني بر گسترش حملات POODLE منتشر نشده است اما گوگل و بسياري از شركت هاي ديگر در حال متوقف كردن سرورهايي هستند كه از ارتباطات SSLv3 استفاده مي كنند.
Langley اظهار داشت كه تجهيزات شبكه F5 و A10 تحت تاثير اين آسيب پذيري قرار دارند. در حال حاضز براي F5 به روز رساني هايي منتشر شده است و قرار است در آينده براي A10 نيز اصلاحيه هايي منتشر شود.
او ادامه داد رمزگذاري هايي كه توسط پروتكل هاي پيش از TLS نسخه 1.2 انجام مي شوند نسبت به حملات مشابه آسيب پذير مي باشند.
- 4