Các sản phẩm của Cisco có thể bị ảnh hưởng trước các cuộc tấn công POODLE
Ci sco đã phân tích sản phẩm của mình nhằm xác định những sản phẩm bị ảnh hưởng bởi lỗ hổng giao thức Secure Sockets Layer (SSL) phiên bản 3 có tên gọi POODLE (Padding Oracle On Downgraded Legacy Encryption). Rất nhiều công ty công nghệ đang vá sản phẩm của mình nhằm đảm bảo an toàn trước các ...
Cisco đã phân tích sản phẩm của mình nhằm xác định những sản phẩm bị ảnh hưởng bởi lỗ hổng giao thức Secure Sockets Layer (SSL) phiên bản 3 có tên gọi POODLE (Padding Oracle On Downgraded Legacy Encryption).
Rất nhiều công ty công nghệ đang vá sản phẩm của mình nhằm đảm bảo an toàn trước các cuộc tấn công ShellShock và tập trung từng bước bảo vệ khách hàng trước POODLE. Đây là các cuộc tấn công có thể trích xuất dữ liệu từ kết nối mã hóa.
Rất nhiều sản phẩn của Cisco đang được điều tra, nhưng công ty đã đăng tải danh sách các sản phẩm có thể bị ảnh hưởng. Các sản phẩm bị ảnh hưởng bao gồm Cisco Webex Social, Cisco AnyConnect, Cisco ACE, Cisco Standalone rack server CIMC, Cisco Wireless LAN Controller, Cisco Cloud Web Security và nhiều thiết bị Cisco TelePresence. Cisco Adaptive Security Device Manager, Cisco Prime Data Center Network Manager và Cisco Webex Messenger Service không bị ảnh hưởng.
Theo Cisco, một vài sản phẩm bị ảnh hưởng bởi lỗ hổngPOODLE khi sử dụng SSL 3.0 cho những tính năng như giao diện quản lí trang Web thông qua HTTPS, SSL VPNs, truyền file qua HTTPS, hoặc Secure SIP. “Khách hàng hiện tại sử dụng mặc định TLS nhưng họ có thể quay trở về SSLv3 nếu kết nối sử dụng TLS thất baị. Tin tặc có thể tiến hành một cuộc tấn công man-in-the-middle và thực hiện giao thức hạ cấp SSLv3 và khai thác lỗ hổng nhằm giải mã những kết nối được mã hóa” – Chuyên gia Cisco cho biết.
Sản phẩm ảnh hưởng bởi bởi POODLE phải đáp ứng hai tiêu chí là hỗ trợ SSL 3.0 và có block cipher trong chế độ CBC như một bộ chuyển đổi. Sản phẩm thiếu một trong hai đều không bị ảnh hưởng. Apple đã giải quyết lỗ hổng này trên OS X bằng cách vô hiệu hóa CBC cipher khi kết nối TLS thất bại.
Securityweek