CVE-2014-3566
読み:スィーヴィーイー-にーゼロいちよん-さんごーろくろく
外語:CVE-2014-3566
SSL 3.0に存在した脆弱性の一つ。通称「POODLE」。
概要
MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。
これは、SSL 3.0の仕様に潜在的に存在する欠陥であり、攻撃者はパディングオラクル攻撃によって暗号化通信の一部を解読することができるという極めて重大なセキュリティホールである。
SSLの後継としてTLSが使われており、速やかな移行が推奨されている。
特徴
問題
原因
SSL 3.0 には、CBC(Cipher Block Chaining)モードで使用した際にパディングオラクル攻撃が可能となる、仕様上の脆弱性がある。
影響
現在はSSLの後継であるTLSが使われているが、SSL 3.0も併用されている。この時、暗号方式のダウングレード攻撃を利用することで脆弱性のあるSSL 3.0を利用するよう仕向けると、中間者となる攻撃者は脆弱性を利用して通信経路で暗号文の解読、および改竄をすることが可能となる。
中間者攻撃は容易ではなく膨大な時間と労力を要するため、実際にこの脆弱性を利用した攻撃の被害を受ける可能性は高くはない。しかし既にTLSが標準化されていることもあり、SSL の不具合を回避するために、TLS のみを使用することが業界内では暗黙の了解として推奨されるようになった。
再検索