Il client java è vulnerabile a POODLE?

6

Ho un'applicazione basata su Java (in esecuzione su Java 5 o versione successiva) che stabilisce una connessione SSL verso un Apache tomcat 7.0.47 su java 7.

Da quanto ho capito, per sfruttare POODLE è necessario un client che esegua esplicitamente il downgrade out-of-protocol. Qualcosa che i web browser fanno sempre, ma pochissimi altri client lo fanno. Quindi mi chiedo poiché entrambe le parti (server e client) sono basate su Java e non sul browser Web se la mia applicazione è a rischio a causa della vulnerabilità di POODLE?

    
posta Guy 23.10.2014 - 15:38
fonte

1 risposta

1

POODLE è una vulnerabilità nel protocollo SSLv3, in particolare nel modo in cui gestisce il riempimento per cifrari a blocchi (RC4, essendo un codice di flusso, non è vulnerabile, ma ha i suoi punti deboli).

  1. Il client e il server parlano tra loro usando SSLv3?
  2. Può un aggressore man-in-the-middle costringerli a parlare usando SSLv3?

Se la risposta a una delle domande precedenti è "sì", la coppia client / server è potenzialmente vulnerabile. Effettivamente l'attacco dipende dai dettagli di come funzionano il client e il server.

    
risposta data 24.10.2014 - 02:10
fonte

Leggi altre domande sui tag