SSL 3.0 -salausprotokollasta on löytynyt haavoittuvuus, joka mahdollistaa salatun liikenteen osittaisen purkamisen SSL 3.0 -yhteyksissä, mikäli hyökkääjä pystyy muokkaamaan verkkoliikennettä. Haavoittuvuus ei koske uudempaa ja yleisemmin käytettyä TLS-salausprotokollaa. Haavoittuvuudelle on annettu nimi POODLE (Padding Oracle On Downgraded Legacy Encryption).

SSL- ja TLS-protokollien yleisimmät käyttökohteet ovat suojattu verkkoselailu HTTPS-protokollalla, sekä sähköpostiyhteyden salaaminen. Valtaosa selaimista ja palvelimista tukee uudemman TLS-protokollan eri versioita, jolloin salatut yhteydet muodostetaan TLS-protokollalla. Vanhempi SSL 3.0 -protokolla on myös tuettu useimmissa selaimissa ja palvelimissa ja sitä käytetään mikäli yhteyttä ei saada muodostettua TLS-protokollalla. Hyökkääjän on mahdollista pakottaa palvelimen ja käyttäjän välinen yhteys SSL 3.0 -yhteydeksi estämällä TLS-yhteyden muodostus, jonka jälkeen hyökkääjä voi käyttää POODLE-haavoittuvuutta liikenteen osittaiseen purkamiseen.

Haavoittuvuuden hyväksikäyttö on mahdollista, jos hyökkääjä pystyy kaappaamaan ja muokkaamaan verkkoliikennettä käyttäjän ja palvelimen välillä (man in the middle) ja lisäämään tavuja tiettyyn kohtaan liikennettä, kun käytetään SSL 3.0 -salausta. Hyökkääjä pystyy onnistuessaan purkamaan SSL 3.0 -salatusta yhteydestä yhden tavun kerrallaan.

Haavoittuvuuteen ei ole olemassa korjausta. Käyttäjiä sekä palveluiden ylläpitäjiä suositellaan poistamaan SSL 3.0 käytöstä. TLS-yhteyden pakottamisen SSL 3.0 -yhteydeksi voi estää käyttämällä TLS_FALLBACK_SCSV-ominaisuutta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät

Hyökkäystapa

• Etäkäyttö

Hyväksikäyttö

• Tietojen muokkaaminen
• Luottamuksellisen tiedon hankkiminen
• Suojauksen ohittaminen

Ratkaisu

• Ongelman rajoittaminen

Haavoittuvat ohjelmistot:

SSL 3.0 -protokollaa käyttävät sovellukset ja palvelut. Haavoittuvuuteen ei ole olemassa korjausta.

Ratkaisu- ja rajoitusmahdollisuudet:

• SSL 3.0 -protokollan poistaminen käytöstä
• TLS_FALLBACK_SCSV-toteutuksen käyttäminen

Lisätietoa:

•  
• https://www.openssl.org/~bodo/ssl-poodle.pdf
• http://googleonlinesecurity.blogspot.fi/2014/10/this-poodle-bites-exploiting-ssl-30.html
• https://technet.microsoft.com/library/security/3009008
• https://poodle.io/
• https://isc.sans.edu/diary/OpenSSL: SSLv3 POODLE Vulnerability Official Release/18827
• http://www.circl.lu/pub/tr-28/
• CVE-2014-3566
•  

Oracle on julkaissut lokakuun ohjelmistopäivityksensä (Critical Patch Update). Päivitykset sisältävät myös 25 korjausta Java SE -ohjelmistoon. Haavoittuvuuksista vakavimmat voivat mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä.

Lokakuun päivityspaketti sisältää yhteensä 155 korjauspäivitystä lukuisiin Oraclen tuotteisiin. Useita kymmeniä korjattuja havoittuvuuksia voidaan hyväksikäyttää verkon kautta ilman kirjautumista. Haavoittuvat ympäristöt on syytä päivittää heti kun mahdollista.

Tarkemmat tiedot korjauspäivtyksistä on saatavilla Oraclen tiedotteesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Ilman kirjautumista
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Oracle Database 11g Release 1, versio 11.1.0.7
• Oracle Database 11g Release 2, versiot 11.2.0.3, 11.2.0.4
• Oracle Database 12c Release 1, versiot 12.1.0.1, 12.1.0.2
• Oracle Application Express, versiota 4.2.6 aikaisemmat versiot
• Oracle Fusion Middleware 11g Release 1, versiot 11.1.1.5, 11.1.1.7
• Oracle Fusion Middleware 11g Release 2, versiot 11.1.2.1, 11.1.2.2, 11.1.2.4
• Oracle Fusion Middleware 12c, versiot 12.1.1.0, 12.1.2.0, 12.1.3.0
• Oracle Access Manager, versiot 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle Endeca Information Discovery Studio, versiot 2.2.2, 2.3, 2.4, 3.0, 3.1
• Oracle Enterprise Data Quality, versiot 8.1.2, 9.0.11
• Oracle Identity Manager, versiot 11.1.1.5, 11.1.1.7, 11.1.2.1, 11.1.2.2
• Oracle JDeveloper, versiot 10.1.3.5, 11.1.1.7, 11.1.2.4, 12.1.2.0, 12.1.3.0
• Oracle OpenSSO, versio 3.0-04
• Oracle WebLogic Server, versiot 10.0.2, 10.3.6, 12.1.1, 12.1.2, 12.1.3
• Application Performance Management, versiot 12.1.0.4.4, 12.1.0.5.4, 12.1.0.6.1
• Enterprise Manager for Oracle Database Release 10g, 11g, 12c
• Enterprise Manager Ops Center, versiot 11.1, 12.1, 12.2
• Oracle E-Business Suite Release 11i, versio 11.5.10.2
• Oracle E-Business Suite Release 12, versiot 12.0.4, 12.0.6, 12.1.1, 12.1.2, 12.1.3, 12.2.2, 12.2.3, 12.2.4
• Oracle Agile PLM, versiot 9.3.1.2, 9.3.3
• Oracle Transportation Management, versiot 6.1, 6.2, 6.3.0 through 6.3.5
• Oracle PeopleSoft Enterprise HRMS, versio 9.2
• Oracle PeopleSoft Enterprise PeopleTools, versiot 8.52, 8.53, 8.54
• Oracle JD Edwards EnterpriseOne Tools, versio 8.98
• Oracle Communications MetaSolv Solution, versiot MetaSolv Solution: 6.2.1.0.0, LSR: 9.4.0, 10.1.0, ASR: 49.0.0
• Oracle Communications Session Border Controller, versio SCX640m5
• Oracle Retail Allocation, versiot 10.0, 11.0, 12.0, 13.0, 13.1, 13.2
• Oracle Retail Clearance Optimization Engine, versiot 13.3, 13.4, 14.0
• Oracle Retail Invoice Matching, versiot 11.0, 12.0, 12.0 IN, 12.1, 13.0, 13.1, 13.2, 14.0
• Oracle Retail Markdown Optimization, versiot 12.0, 13.0, 13.1, 13.2, 13.4
• Oracle Health Sciences Empirica Inspections, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Health Sciences Empirica Signal, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Health Sciences Empirica Study, versiot 1.0.x, 3.1.x, 7.3.x
• Oracle Primavera Contract Management, versiot 13.1, 14.0
• Oracle Primavera P6 Enterprise Project Portfolio Management, versiot 7.0, 8.1, 8.2, 8.3
• Oracle JavaFX, versio 2.2.65
• Oracle Java SE, versiot 5.0u71, 6u81, 7u67, 8u20
• Oracle Java SE Embedded, versio 7u60
• Oracle JRockit, versiot R27.8.3, R28.3.3
• Oracle Fujitsu, palvelinversiot M10-1, M10-4, M10-4S
• Oracle Solaris, versiot 10, 11
• Oracle Secure Global Desktop, versiot 4.63, 4.71, 5.0, 5.1
• Oracle VM VirtualBox, versioita 4.1.34, 4.2.26, 4.3.14 aikaisemmat versiot
• Oracle MySQL Server, versiot 5.5.39 ja aikaisemmat, 5.6.20 ja aikaisemmat

Ratkaisu- ja rajoitusmahdollisuudet:

Päivitä haavoittuvat ohjelmistot korjattuihin versioihin valmistajan ohjeiden mukaisesti.

Java:n käyttäjät voivat varmistaa käytössä olevan versionsa osoitteessa http://java.com/en/download/installed.jsp

Lisätietoa:

• http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

Microsoft on julkaissut kahdeksan korjauspäivitystä, joista kolme on luokiteltu kriittiseksi (critical). Kriittisten haavoittuvuuksien onnistunut hyväksikäyttö mahdollistaa hyökkääjän ohjelmakoodin suorittamisen kohdejärjestelmässä.

Kriittisten korjauspäivitysten lisäksi myös kahdessa tärkeäksi (important) luokitellussa korjauspäivityksesssa korjattujen haavoittuvuuksien onnistunut hyväksikäyttö mahdollistaa hyökkäjän ohjelmakoodin suorittamisen. Muut kolme tärkeäksi (important) luokiteltua korjauspäivitystä korjaavat käyttövaltuuksien laajentamisen ja suojauksen ohittamisen mahdollistavia haavoittuvuuksia.

Tarkemmat tiedot korjauspäivtyksistä on saatavilla Microsoftin tiedotteesta.

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset
• Verkon aktiivilaitteet
• Matkaviestinjärjestelmät
• Sulautetut järjestelmät
• Muut

Kohde

• Palvelimet ja palvelinsovellukset
• Työasemat ja loppukäyttäjäsovellukset

Hyökkäystapa

• Paikallisesti
• Etäkäyttö

Hyväksikäyttö

• Komentojen mielivaltainen suorittaminen
• Käyttövaltuuksien laajentaminen
• Suojauksen ohittaminen

Ratkaisu

• Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot:

• Microsoft Internet Explorer 6, 7, 8, 9, 10 ja 11
• Microsoft .NET Framework 2.0 Service Pack 2 ja Microsoft .NET Framework 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2
• ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5, ja ASP.NET MVC 5.1
• Microsoft Word 2007, Microsoft Office 2007, Microsoft Word 2010, Microsoft Office 2010, Microsoft Office for Mac 2011, Microsoft Office Compatibility Pack, Word Automation Services, ja Microsoft Office Web Apps Server 2010
• Microsoft Message Queuing (MSMQ) service
• Windows Vista, 7, 8 ja 8.1
• Windows RT ja RT 8.1
• Windows Server 2003, 2008, 2008 R2, 2012, 2012 R2 ja Core

Ratkaisu- ja rajoitusmahdollisuudet:

Asenna haavoittuvuudet korjaavat ohjelmistopäivitykset. Huomioi, että päivitysten asentamisen jälkeen järjestelmän voi joutua käynnistämään uudelleen. Helpoin tapa päivittää yksittäinen työasema on käyttää automaattista päivitystyökalua.

Lisätietoa:

• https://technet.microsoft.com/library/security/ms14-oct
• CVE-2014-4073
• CVE-2014-4075
• CVE-2014-4113
• CVE-2014-4114
• CVE-2014-4115
• CVE-2014-4117
• CVE-2014-4121
• CVE-2014-4122
• CVE-2014-4123
• CVE-2014-4124
• CVE-2014-4126
• CVE-2014-4127
• CVE-2014-4128
• CVE-2014-4129
• CVE-2014-4130
• CVE-2014-4132
• CVE-2014-4133
• CVE-2014-4134
• CVE-2014-4137
• CVE-2014-4138
• CVE-2014-4140
• CVE-2014-4141
• CVE-2014-4148