POODLE

개에 대해서는 푸들 문서를 참고하십시오.

POODLE("Padding Oracle On Downgraded Legacy Encryption")은 SSL 3.0에 대한 폴백을 활용하는 보안 취약점이다.^[1][2][3] 공격자가 이 취약점을 성공적으로 악용하는 경우 평균적으로 1바이트의 암호화된 메시지를 공개하기 위해 SSL 3.0 요청을 256회만 하면 된다. 구글 보안 팀의 보도 뮐러(Bodo Möller), 타이 두옹(Thai Duong), 크시슈토프 코토비츠(Krzysztof Kotowicz)가 이 취약점을 발견했다. 그들은 2014년 10월 14일에 취약점을 공개적으로 공개했다(다만 문서 날짜가 "2014년 9월"로 되어 있음). 2014년 12월 8일, TLS에 영향을 미치는 POODLE 취약점의 변종이 발표되었다.

원래 POODLE 공격과 관련된 CVE-ID는 CVE-2014-3566이다. F5 네트웍스도 CVE-2014-8730에 대해 출원했다.

각주

1. Möller, Bodo; Duong, Thai; Kotowicz, Krzysztof (September 2014). “This POODLE Bites: Exploiting The SSL 3.0 Fallback” (PDF). 
2. Bright, Peter (2014년 10월 15일). “SSL broken, again in POODLE attack”. Ars Technica. 
3. Brandom, Russell (2014년 10월 14일). “Google researchers reveal new Poodle bug, putting the web on alert”. 

외부 링크

• This POODLE Bites: Exploiting TheSSL 3.0 Fallback - The original publication of POODLE
• 1076983 – (POODLE) Padding oracle attack on SSL 3.0 Mozilla Bugzilla
• What Is the POODLE Attack? - Acunetix article explaining POODLE attack algorithm