Beheer

Security

POODLE dwingt webmasters opnieuw tot actie

9 december 2014
Het leek erop dat de gevaarlijke POODLE-bug met het uitfaseren van SSL 3.0 verholpen was. Maar het blijkt dat ook sommige varianten van TLS - de veilig geachte opvolger van SSL - kwetsbaar zijn voor POODLE.

Padding Oracle On Downgraded Legacy Encryption, zoals de bug voluit gedoopt is, stelt hackers in staat versleuteld internetverkeer te dwingen gebruik te maken van SSL 3.0. Deze sterk verouderde variant van het secure sockets layer-protocol bevat een fout die te misbruiken is om de versleuteling ongedaan te maken, en zo gebruikersnamen en wachtwoorden buit te maken.

De fout die SSL 3.0 kwetsbaar maakte, blijkt nu ook voor te komen in sommige implementaties van het Transport Layer Security-protocol. Dat geldt bijvoorbeeld voor websites die bepaalde load balancers van F5 of A10 Networks gebruiken. F5 heeft al een lijst gepubliceerd van kwetsbare implementaties, met een patch. A10 Networks adviseert om de laatst gepubliceerde patches aan te brengen.

Welke andere systemen kwetsbaar zijn, is niet duidelijk. Qualis schat na tests dat zo'n 10 procent van de websites kwetsbaar kunnen zijn. Webmasters kunnen hun site wel zelf checken of hun servers of load balancers kwetsbaar zijn met een online tool dat beschikbaar is gemaakt door Qualis.

Lees meer over
Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.