حملات ZombiePOODLE و GOLDENDOODLE
حملاتی نظیر ZombiePOODLE ، GOLDENDOODLE ،OpenSSL 0-length و Sleeping DOODLE مخصوص وب سایت هایی اند که از شیوه های رمزنگاری (CBC (Cipher Block Chaining استفاده می کنند.همچنین این آسیب پذیری ها فقط برای سرور هایی که از استاندارد TLS 1.2 یا TLS 1.1 و شیوه رمزنگاری CBC استفاده می کنند، ، مناسب اند.
آزمایشگاه های SSL رمزنگاری های CBC را با رنگ نارنجی و متنی ضعیف شناسایی می کند. این امر تأثیری بر رتبه ها نخواهد داشت و فقط به این معنی است که آزمایش های SSL از مجموعه رمزنگاری های مبنتی بر CBC جلوگیری می کنند.
آزمایشگاه های SSL در اواخر ماه می 2019 به سرورهای آلوده شده بر اساس این آسیب پذیری رتبه “F” را می دهد. در حال حاضر آزمایشگاه های SSL فقط یک اخطار برای این سرور ها صادر می کند:
- Invalid padding with valid MAC) Zombie POODLE )
- Valid padding with an invalid MAC) GOLDENDOODLE)
- Invalid Mac/Valid Pad, 0-length record) 0-Length OpenSSL)
- invalid padding with valid MAC) Sleeping POODLE)
تغییرات SSLLAbs UI
محدودیت ها در شناسایی و تشخیص آزمایشگاه های SSL
- این آزمایشات مخصوص پروتکل ها و رمزنگاری ها هستند، آزمایشگاه SSL فقط پروتکل ها و مجموعه رمزنگاری های CBC برگزیده را بررسی می کند. احتمالی وجود دارد که ممکن است سرور با مجموعه دیگری از پروتکل ها و رمزنگاری ها آسیب پذیر باشد.
- آزمایشگاه SSL تنها مجموعه محدودی از رمزنگاری های CBC را بررسی می کند.