POODLE dwingt webmasters opnieuw tot actie
Padding Oracle On Downgraded Legacy Encryption, zoals de bug voluit gedoopt is, stelt hackers in staat versleuteld internetverkeer te dwingen gebruik te maken van SSL 3.0. Deze sterk verouderde variant van het secure sockets layer-protocol bevat een fout die te misbruiken is om de versleuteling ongedaan te maken, en zo gebruikersnamen en wachtwoorden buit te maken.
Shutterstock
Shutterstock
De fout die SSL 3.0 kwetsbaar maakte, blijkt nu ook voor te komen in sommige implementaties van het Transport Layer Security-protocol. Dat geldt bijvoorbeeld voor websites die bepaalde load balancers van F5 of A10 Networks gebruiken. F5 heeft al een lijst gepubliceerd van kwetsbare implementaties, met een patch. A10 Networks adviseert om de laatst gepubliceerde patches aan te brengen.
Welke andere systemen kwetsbaar zijn, is niet duidelijk. Qualis schat na tests dat zo'n 10 procent van de websites kwetsbaar kunnen zijn. Webmasters kunnen hun site wel zelf checken of hun servers of load balancers kwetsbaar zijn met een online tool dat beschikbaar is gemaakt door Qualis.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee