POODLE (TLS)
Oracle aanvullen op basis van gedowngrade oude versleuteling
Gerelateerde fout
"Deze server ondersteunt oudere SSL/TLS-protocollen. De server is kwetsbaar voor een Poodle (TLS)-aanval. Schakel oudere protocollen uit."
Probleem
Er zijn nieuwe versies van de POODLE (SSL)-kwetsbaarheid ontdekt, zoals Zombie POODLE, GOLDENDOODLE, 0-Length OpenSSL en Sleeping POODLE. Deze nieuwe POODLE-kwetsbaarheden werden gevonden op sites die de TLS 1.0-, TLS 1.1- en TLS 1.2-protocollen gebruikten met de Cipher Block Chaining (CBC)-blokcoderingsmodi ingeschakeld.
Oplossing
Voor de korte termijn: Schakel ondersteuning voor CBC-versleutelingsciphers uit.
Voor de lange termijn: Schakel het TLS 1.3-protocol in.
Tijdelijke oplossing
Configureer TLS om prioriteit te geven aan CBC-ciphers. De aanvaller kan het gebruik van een CBC-cipher niet forceren, maar kan de aanval alleen initiëren met een client of server die normaal gesproken over een CBC-cipher onderhandelt. Gebruik deze tijdelijke oplossing alleen als u de ondersteuning voor CBC-versleutelingsciphers niet kunt uitschakelen.