 |
Muut verkkotunnukset myös meidän kautta
15 10 2014
SSL 3.0 -salausprotokollassa haavoittuvuus
ssl, poodleSSL 3.0 -salausprotokollasta on löytynyt haavoittuvuus, joka mahdollistaa salatun liikenteen osittaisen purkamisen SSL 3.0 -yhteyksissä, mikäli hyökkääjä pystyy muokkaamaan verkkoliikennettä. Haavoittuvuus ei koske uudempaa ja yleisemmin käytettyä TLS-salausprotokollaa. Haavoittuvuudelle on annettu nimi POODLE (Padding Oracle On Downgraded Legacy Encryption).
SSL- ja TLS-protokollien yleisimmät käyttökohteet ovat suojattu verkkoselailu HTTPS-protokollalla, sekä sähköpostiyhteyden salaaminen. Valtaosa selaimista ja palvelimista tukee uudemman TLS-protokollan eri versioita, jolloin salatut yhteydet muodostetaan TLS-protokollalla. Vanhempi SSL 3.0 -protokolla on myös tuettu useimmissa selaimissa ja palvelimissa ja sitä käytetään mikäli yhteyttä ei saada muodostettua TLS-protokollalla. Hyökkääjän on mahdollista pakottaa palvelimen ja käyttäjän välinen yhteys SSL 3.0 -yhteydeksi estämällä TLS-yhteyden muodostus, jonka jälkeen hyökkääjä voi käyttää POODLE-haavoittuvuutta liikenteen osittaiseen purkamiseen.
Haavoittuvuuden hyväksikäyttö on mahdollista, jos hyökkääjä pystyy kaappaamaan ja muokkaamaan verkkoliikennettä käyttäjän ja palvelimen välillä (man in the middle) ja lisäämään tavuja tiettyyn kohtaan liikennettä, kun käytetään SSL 3.0 -salausta. Hyökkääjä pystyy onnistuessaan purkamaan SSL 3.0 -salatusta yhteydestä yhden tavun kerrallaan.
Haavoittuvuuteen ei ole olemassa korjausta. Käyttäjiä sekä palveluiden ylläpitäjiä suositellaan poistamaan SSL 3.0 käytöstä. TLS-yhteyden pakottamisen SSL 3.0 -yhteydeksi voi estää käyttämällä TLS_FALLBACK_SCSV-ominaisuutta.
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
- Sulautetut järjestelmät
- Muut
Kohde
- Palvelimet ja palvelinsovellukset
- Työasemat ja loppukäyttäjäsovellukset
- Verkon aktiivilaitteet
- Matkaviestinjärjestelmät
Hyökkäystapa
- Etäkäyttö
Hyväksikäyttö
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
- Suojauksen ohittaminen
Ratkaisu
- Ongelman rajoittaminen
Haavoittuvat ohjelmistot:
SSL 3.0 -protokollaa käyttävät sovellukset ja palvelut. Haavoittuvuuteen ei ole olemassa korjausta.
Ratkaisu- ja rajoitusmahdollisuudet:
- SSL 3.0 -protokollan poistaminen käytöstä
- TLS_FALLBACK_SCSV-toteutuksen käyttäminen
Lisätietoa:
- https://www.openssl.org/~bodo/ssl-poodle.pdf
- http://googleonlinesecurity.blogspot.fi/2014/10/this-poodle-bites-exploiting-ssl-30.html
- https://technet.microsoft.com/library/security/3009008
- https://poodle.io/
- https://isc.sans.edu/diary/OpenSSL: SSLv3 POODLE Vulnerability Official Release/18827
- http://www.circl.lu/pub/tr-28/
- CVE-2014-3566
Päivityshistoria
- 15.10.2014 klo 12:51Julkaistu
- 15.10.2014 klo 15:48Päivitetty lisätietolinkki.
Tietoturvatiedotteet
- SolarWinds Orion Platformin takaovi mahdollisti vakoilun ja tietomurtoja
- Kalastelusivujen anatomiaa – Box-tiedostonjakopalvelua jäljittelevä kampanja
- Emotet-haittaohjelmaa levitetään aktiivisesti Suomessa
E-Karjalan ICT-Palvelut.net Oy
Markku Järvinen 050 305 9931
markku.jarvinen(AT)ict-palvelut.net
markku.jarvinen(AT)ict-palvelut.net
Käytämme evästeitä. Lisätiedot. Tarkempi selvitys Traficomin jutusta tai täältä.