Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Deutsch
Entry № 946

POODLE-Angriff (CVE-2014-3566)

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist POODLE-Angriff (CVE-2014-3566)?

POODLE-Angriff (CVE-2014-3566)Padding-Oracle-Angriff von 2014 auf SSL 3.0 (und einige fehlerhafte TLS-Implementierungen), der einem Man-in-the-Middle das Entschlüsseln sensibler Bytes einer HTTPS-Sitzung erlaubt.

POODLE — Padding Oracle On Downgraded Legacy Encryption — wurde im Oktober 2014 von Google-Forschern als CVE-2014-3566 veröffentlicht. Der CBC-Modus von SSL 3.0 authentifiziert die Padding-Bytes nicht; ein aktiver Man-in-the-Middle, der einen Downgrade auf SSL 3.0 erzwingen kann, errät ein Klartext-Byte pro ~256 Anfragen, indem er auf das Akzeptieren des Paddings achtet. Typische Ziele sind Web-Cookies. Eine verwandte Variante ("POODLE on TLS") betraf TLS-Implementierungen, die SSLv3-Logik kopiert hatten. Schutz: SSL 3.0 überall deaktivieren, TLS_FALLBACK_SCSV aktivieren, TLS 1.2/1.3 mit AEAD-Suites bevorzugen, Altlasten-CBC entfernen.

Beispiele

  1. 01

    On-Path-Angreifer in Coffee-Shop-WLAN erzwingt SSL-3.0-Downgrade im Browser, um Session-Cookies zu stehlen.

  2. 02

    Großflächiges Abschalten von SSL 3.0 auf Webservern, Browsern und CDNs Ende 2014 als Reaktion auf POODLE.

Häufige Fragen

Was ist POODLE-Angriff (CVE-2014-3566)?

Padding-Oracle-Angriff von 2014 auf SSL 3.0 (und einige fehlerhafte TLS-Implementierungen), der einem Man-in-the-Middle das Entschlüsseln sensibler Bytes einer HTTPS-Sitzung erlaubt. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.

Was bedeutet POODLE-Angriff (CVE-2014-3566)?

Padding-Oracle-Angriff von 2014 auf SSL 3.0 (und einige fehlerhafte TLS-Implementierungen), der einem Man-in-the-Middle das Entschlüsseln sensibler Bytes einer HTTPS-Sitzung erlaubt.

Wie schützt man sich gegen POODLE-Angriff (CVE-2014-3566)?

Schutzmaßnahmen gegen POODLE-Angriff (CVE-2014-3566) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für POODLE-Angriff (CVE-2014-3566)?

Übliche alternative Bezeichnungen: CVE-2014-3566, SSL-3.0-Padding-Oracle.

Verwandte Begriffe