Home Vulnerability อธิบาย ช่องโหว่ CVE-2014-3566 (SSLv3) หรือ POODLE

อธิบาย ช่องโหว่ CVE-2014-3566 (SSLv3) หรือ POODLE

SHARE

POODLE เป็นชื่อย่อมาจาก คำว่า ‘Padding Oracle On Downgraded Legacy Encryption
ที่พบโดยพนักงานของ google ที่ชื่อ Thai Duong และ Krzysztof Kotowicz
(ปกติเราจะเรียกพนักงาน google ว่า Googlers)


ทีนี้ มาดูว่ามันคิออะไรกัน

POODLE คือความผิดพลาดของการเข้ารหัสบน Protocol SSL v3 (อ่านมาตรฐาน RFC 6101 เพิ่มนะ)
ประมาณว่า ตอนที่ client และ server ทำการส่งข้อมูลหากันบน ssl
(เช่น line, facebook หรือเว็บ ธนาคาร ต่างๆ ที่ใช้ https อ่ะ)
ข้อมูลจะถูกเข้ารหัสและแบ่งเป็น blockๆ (เรียกว่า Cipher Block Chaining [หรือ ย่อๆ ว่า CBC] )
ทีนี้ ถ้าข้อมูลไม่เต็ม block จะมีการทำการเติมค่าลงไปให้เต็ม (เรียกว่า การทำ padding)
ซึ่งถ้าเราดูจากโครงสร้างการทำ padding ของ SSLv3 (ดูตรง rfc6101#section-5.2.3.2 )
จะเห็นว่า มีการใส่ padding_length เข้าไป (ประมาณว่าบอกว่า padding มีความยาวเท่าไหร่)
มันก็เลยทำให้ข้อมูลที่เข้ารหัสไว้นั้น สามารถถูกถอดรหัสออกมาได้ (อ่านวิธีทางเทคนิคเพิ่มจาก link ด้านล่าง โลด)

 


วิธีป้องกัน

เนื่องจากมันเป็นช่องโหว่ ระดับ protocal ทางผู้ใช้จึงป้องกันลำบาก
เพราะ ต้องเลิกใช้ protocal SSLv3 หรือ เปลี่ยนไปใช้ protocal อื่น
ซึ่งจากที่อ่านผ่านๆ ทางฝั่ง client อย่าง firefox
ได้ออก version ใหม่ที่เลิกใช้ SSLv3 มาแล้ว
ส่วนทางฝั่ง server อย่าง cloudflare ก็ได้ยกเลิกใช้ SSLv3 เช่นกัน
ดังนั้น ทำให้ user ที่ใช้ firefox หรือเว็บที่อยู่หลัง cloudflare นั้น
รอดจากการโดนโจมตีด้วยเทคนิคนี้

ส่วน browser อื่นๆ วิธีที่ป้องกันได้ในตอนนี้ คือ
ตั้งค่า ตัว browser ตามใน เอกสารของเมธ ด้านล่างไปก่อน คับผม
<แต่ผมว่า เดี๋ยวนี้ มันอัพเดทไวนะ .. เดี๋ยว browser ต่างๆ ก็คง patch กันหมด
ปัญหาคือพวก user ทั้งหลายนี่แหละ … จะอัพเดท ตามกันบ้างหรือป่าว ?>


วีดีโอ อธิบาย แบบ มึนๆ O_o”

link ประกอบใน VDO