Уязвимость в некоторых реализациях TLS
Обнаружена уязвимость в ряде реализаций TLS, делающая возможной атаку POODLE в случае работы по протоколу TLS 1.x.
Атака POODLE основана на отсутствии в спецификации протокола SSLv3 требований к формату вспомогательных данных (padding, байтов дополнения) в процессе работы по безопасному соединению. Часть реализаций протокола TLS также не производят эту проверку, в результате чего злоумышленник может, меняя передаваемые данные, получить авторизационные реквизиты (Cookie), посылая некоторое количество паразитных запросов.
Уязвимости подвержены некоторые устаревшие версии библиотеки NSS, а также сайты, использующие для балансирования нагрузки популярное решение F5 product и некоторые другие решения.
Для проверки на наличие уязвимости можно воспользоваться сканером от SSLlabs.
По предварительным данным, около 10% веб-сайтов, работающих по протоколу https, подвержены новой уязвимости.