La faille « POODLE » s’étend de SSL 3.0A TLS 1.0 et 1.1 explications par GlobalSign
décembre 2014 par GlobalSign
Alors que l’autorité de certification signalait la découverte de la faille POODLE (Padding Oracle On Downgraded Legacy Encryption) en octobre dernier, tout le monde pensait que celle-ci n’affectait que le protocole SSL 3.0. Cependant, il a été découvert que certaines implémentations TLS 1.0 et TLS 1.1 seraient aussi concernées.
Permettant à des pirates d’intercepter des informations cruciales dans les communications établies entre le navigateur d’un utilisateur et un site sécurisé par un certificat SSL, cette faille touche des implémentations du protocole TLS qui ne vérifient pas correctement la structure de chiffrement utilisé dans les paquets TLS.
A ce stade, des vulnérabilités ont été découvertes sur des sites qui utilisaient des répartiteurs de charge de F5 Networks et A10 networks pour gérer les connections TLS.