CVE-2014-3566
CVE-2014-3566
Em resumo
O SSL 3.0 possui uma fraqueza na forma como trata o preenchimento de dados criptografados, permitindo que atacantes descriptografem mensagens interceptadas. Essa falha, chamada POODLE, afeta sistemas de criptografia antigos ainda em uso.
Detalhe técnico
O SSL 3.0 implementa preenchimento CBC não-determinístico, permitindo ataques de padding-oracle onde um atacante MITM pode descriptografar sistematicamente dados cifrados observando respostas de validação. A exploração requer interceptação de tráfego entre cliente e servidor, típica e conseguida forçando downgrade de TLS para SSL 3.0.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, uses nondeterministic CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, aka the "POODLE" issue.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://support.apple.com/kb/HT6531http://marc.info/?l=bugtraq&m=142103967620673&w=2http://aix.software.ibm.com/aix/efixes/security/openssl_advisory11.aschttp://www.securitytracker.com/id/1031090http://blog.nodejs.org/2014/10/23/node-v0-10-33-stable/http://rhn.redhat.com/errata/RHSA-2014-1880.htmlhttp://marc.info/?l=bugtraq&m=142804214608580&w=2https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04819635http://www.kb.cert.org/vuls/id/577193http://marc.info/?l=bugtraq&m=141577087123040&w=2http://marc.info/?l=bugtraq&m=141715130023061&w=2http://lists.opensuse.org/opensuse-security-announce/2014-10/msg00008.html