Google chercheurs révèlent Caniche bug, capable d'exploiter SSL 3.0 repli
Greg Westfall
Je l'ai longtemps soupçonné que les caniches sont vraiment à rien de bon, et maintenant je avoir la preuve. Aujourd'hui, les chercheurs de Google publiés nouvelles d'un nouveau caniche redouté (Rembourrage Oracle On Déclassés cryptage Legacy) d'attaque, qui peut effectivement contourner les protections SSL, le même protocole plus tôt cette année que heartbleed ciblé.
Le bug est pas aussi graves ou de grande envergure comme heartbleed, mais néanmoins toujours une menace. Qu'est-ce que ce bogue faire exactement? Fondamentalement SSL protège les données qui est en transit entre un site Web et un utilisateur, et ainsi de ce bogue pourrait permettre pour un attaquant de remplacer les données en transit et ouvre la porte à toutes sortes d'attaques. Le caniche objectifs de bugs SSL 3.0, qui est âgé de près de 15 ans, mais a encore un large niveau de soutien néanmoins.
Une façon d'éviter ce problème est de désactiver simplement le soutien SSL 3.0, mais que peut créer des problèmes de compatibilité. Google affirme sa réponse est recommandé pour les administrateurs système "pour soutenir TLS_FALLBACK_SCSV. Ceci est un mécanisme qui permet de résoudre les problèmes causés par des connexions de retenter échoué et empêche les pirates d'induire les navigateurs à utiliser SSL 3.0 ainsi. Elle empêche également les dégradations de TLS 1.2 au 1.1 ou 1.0 et peut donc aider à prévenir de futures attaques. "
De la part de Google, Chrome et ses serveurs ont soutenu TLS_FALLBACK_SCSV depuis Février et dit qu'il peut être utilisé sans problèmes de compatibilité. Google affirme qu'il va également commencer l'essai des changements pour Chrome aujourd'hui qui permet de désactiver le repli de SSL 3.0. Pour plus de détails sur le bug de caniche (aka poodlebleed), vous aurez envie de la tête sur le blog de la sécurité en ligne de Google.