貴賓犬漏洞

在SSL 3的安全性

貴賓犬漏洞(又稱 POODLE 漏洞,其全稱為「降級加密密文填塞攻擊」)是一種利用互聯網及安全軟件客戶端回滾 SSL3.0 加密算法的行為的中間人攻擊。在漏洞被成功利用的情況下,攻擊者平均只需要發送 256 次 SSL3.0 請求即可破解 1 字節加密信息。來自谷歌安全團隊的 Bodo Möller, Thai Duong 和 Krzysztof Kotowicz 發現了該漏洞;並於 2014 年 10 月 14 日(報告中標為 2014 年 9 月)公佈該漏洞。2014 年 12 月 8 日,影響 TLS 的基於貴賓犬漏洞的一個變種被廣泛報道。

貴賓犬漏洞
CVE標識符CVE-2014-3566
發現日期2014年10月14日,​10年前​(2014-10-14
發現者谷歌安全團隊:
Bodo Möller,
Thai Duong,
Krzysztof Kotowicz
受影響軟件任何支持回滾SSL 3.0的軟件

通用漏洞披露中,原版貴賓犬漏洞的代號為 CVE-2014-3566。F5 Networks 另外提交了 CVE-2014-8730(即針對 TLS 的貴賓犬漏洞)。

利用降級加密實施攻擊

編輯

貴賓犬漏洞的成功在於其利用了套件為了實現不同版本互用性而犧牲安全性的機制。在設計包含不同高級組件的大型系統時,應給予額外關注。在這種情況下,類似的降級攻擊可能會變得常見。

針對 TLS 的貴賓犬漏洞

編輯

2014 年 12 月 8 日,影響 TLS 的基於貴賓犬漏洞的一個變種被廣泛報道。該漏洞利用了 TLS 1.0 - 1.2 協議中的分組密碼工作模式實現算法的缺陷。即使 TLS 規範中規定伺服器檢查秘文,該實現算法仍包含數處未正確檢查的漏洞,使得某些伺服器在禁用了 SSL 3.0 的情況下仍可被貴賓犬漏洞攻擊。SSL Pluse 顯示「大約 10% 伺服器受該漏洞威脅」。F5 Networks 提交的該漏洞的實現方法的通用漏洞披露 ID 編號為 CVE-2014-8730。