Уязвимость в некоторых реализациях TLS

Обнаружена уязвимость в ряде реализаций TLS, делающая возможной атаку POODLE в случае работы по протоколу TLS 1.x.

Атака POODLE основана на отсутствии в спецификации протокола SSLv3 требований к формату вспомогательных данных (padding, байтов дополнения) в процессе работы по безопасному соединению. Часть реализаций протокола TLS также не производят эту проверку, в результате чего злоумышленник может, меняя передаваемые данные, получить авторизационные реквизиты (Cookie), посылая некоторое количество паразитных запросов.

Уязвимости подвержены некоторые устаревшие версии библиотеки NSS, а также сайты, использующие для балансирования нагрузки популярное решение F5 product и некоторые другие решения.

Для проверки на наличие уязвимости можно воспользоваться сканером от SSLlabs.

По предварительным данным, около 10% веб-сайтов, работающих по протоколу https, подвержены новой уязвимости.