فا

‫ مشكل امنيتي POODLE برطرف نشده است

 شماره: IRCNE2014122399

تاريخ: 25/09/93
 
Adam Langley، از شركت گوگل اظهار داشت كه بسياري از پياده سازي هاي TLS نسبت به حملات مشابه POODLE آسيب پذير هستند. حملات POODLE چند ماه پيش نسخه 3 پروتكل SSL را هدف قرار داده بود.
در پروتكل SSLv3 عمليات رمزگذاري داده در مد CBC به طور موثر مشخص نشده بود. در نتيجه فقدان مشخصات موثر باعصث شده بود تا اين پروتكل نسبت به حملات oracle آسيب پذير باشد.
پس از SSL نسخه 3، پروتكل TLS نسخه 1.0 معرفي شد. در اين پروتكل مشخصات رمزگذاري به طور كامل مشخص شده بود و در نتيجه مي توانست با حملات oracle مقابله كند.
اما به تازگي مشخص شده است كه برخي پياده سازي هاي TLS عليرغم قابليت بررسي بايت هاي رمزگذاري شده هم چنان اين بررسي را انجام نمي دهند.
تاكنون گزارشي مبني بر گسترش حملات POODLE منتشر نشده است اما گوگل و بسياري از شركت هاي ديگر در حال متوقف كردن سرورهايي هستند كه از ارتباطات SSLv3 استفاده مي كنند.
Langley اظهار داشت كه تجهيزات شبكه F5 و A10 تحت تاثير اين آسيب پذيري قرار دارند. در حال حاضز براي F5 به روز رساني هايي منتشر شده است و قرار است در آينده براي A10  نيز اصلاحيه هايي منتشر شود.
او ادامه داد رمزگذاري هايي كه توسط پروتكل هاي پيش از TLS نسخه 1.2 انجام مي شوند نسبت به حملات مشابه آسيب پذير مي باشند.
 
مطالب مرتبط:

بهبود پروتكل SSL در نسخه هاي جديد گوگل كروم


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 25 آذر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0