Eine Fehler in SSL 3.0 eröffnet eine neue Sicherheitslücke, die allerdings weniger schwer wiegt als Heartbleed.
Security-Experten von Google haben eine neue Sicherheitslücke in SSL entdeckt . Das Problem wird akut, wenn das 15 Jahre alte SSL-3-Protokoll als Fallback von Software angeboten wird, die TLS- und SSL-Verschlüsselung anbietet. Empfohlen wird deshalb, als Fallback-Protokoll statt SSL 3.0 die Option TLS_FALLBACK_SCSV einzusetzen.
Der in dem Paper beschriebene Angriff firmiert unter dem Namen "POODLE Attack", der Bug trägt die Tracking-Nummer CVE-2014-3566. Ein Exploit würde so funktionieren, dass ein Angriffer einen Server zum Downgrade auf das verwundbare Protokoll bringt und dann mit einem Man-in-the-Middle-Setup unter Umständen Daten mitlesen kann, etwa Cookies, die zur Authentifizierung dienen.
Eine Sicherheitslücke in der Bugtracking-Software erlaubt unberechtigten Zugriff auf vertrauliche Daten.