贵宾犬漏洞

维基百科,自由的百科全书
跳到导航 跳到搜索
贵宾犬漏洞
CVE标识符CVE-2014-3566
发现日期2014年10月14日,​6年前​(2014-10-14
发现者谷歌安全团队:
Bodo Möller,
Thai Duong,
Krzysztof Kotowicz
受影响软件任何支持回滚SSL 3.0的软件

贵宾犬漏洞(又称 POODLE 漏洞,其全称为“降级加密密文填塞攻击”)是一种利用互联网及安全软件客户端回滚 SSL3.0 加密算法的行为的中间人攻击。在漏洞被成功利用的情况下,攻击者平均只需要发送 256 次 SSL3.0 请求即可破解 1 字节加密信息。来自谷歌安全团队的 Bodo Möller, Thai Duong 和 Krzysztof Kotowicz 发现了该漏洞;并于 2014 年 10 月 14 日(报告中标为 2014 年 9 月)公布该漏洞。2014 年 12 月 8 日,影响 TLS 的基于贵宾犬漏洞的一个变种被广泛报道。

通用漏洞披露中,原版贵宾犬漏洞的代号为 CVE-2014-3566。F5 Networks 另外提交了 CVE-2014-8730(即针对 TLS 的贵宾犬漏洞)。

利用降级加密实施攻击[编辑]

贵宾犬漏洞的成功在于其利用了套件为了实现不同版本互用性而牺牲安全性的机制。在设计包含不同高级组件的大型系统时,应给予额外关注。在这种情况下,类似的降级攻击可能会变得常见。

针对 TLS 的贵宾犬漏洞[编辑]

2014 年 12 月 8 日,影响 TLS 的基于贵宾犬漏洞的一个变种被广泛报道。该漏洞利用了 TLS 1.0 - 1.2 协议中的分组密码工作模式实现算法的缺陷。即使 TLS 规范中规定服务器检查秘文,该实现算法仍包含数处未正确检查的漏洞,使得某些服务器在禁用了 SSL 3.0 的情况下仍可被贵宾犬漏洞攻击。SSL Pluse 显示“大约 10% 服务器受该漏洞威胁”。F5 Networks 提交的该漏洞的实现方法的通用漏洞披露 ID 编号为 CVE-2014-8730。