SSLの古い規格の一つである SSL v3 の脆弱性が公表された。
Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
SSL接続しているのに内容が漏洩してしまうケースがあるという問題らしい。
対応はブラウザ側とサーバ側で行うことになるのだが。
SSL v3 をサーバ側で使えないように設定するのが手っ取り早い対応なのだが、
古い携帯が SSL v3 しか対応していなくて、携帯サイトで対応できないみたいな話もある。
あと、各種APIを提供しているサーバが SSL v3 を無効化しちゃって、アプリなどが
アクセスできなくなってしまったという話も。
パッチが出てくるだろうし、SSLの設定を変更するだけっていえばそれだけかも。
(参考)
This POODLE Bites: Exploiting The SSL 3.0 Fallback [PDF]
ImperialViolet - POODLE attacks on SSLv3
CVE-2014-3566 Advisory
PoodleAttack_20141015_J - 暗号プロトコル評価技術コンソーシアム CELLOS
SSLv3 Poodle Attack Check
TLSのダウングレード攻撃を防ぐSCSVとは - あすのかぜ
security - How do I patch/workaround SSLv3 POODLE vulnerability (CVE-2014-3566)? - Ask Ubuntu
(10/22 追記)
自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新1) - livedoor Blog(ブログ)
AWS環境のPOODLE脆弱性対応 (CVE-2014-3566) | Developers.IO
PayPal の sandbox が SSL v3 を接続できないようにしたために API が呼び出せなくなったとか。
SSL 3.0 support of paypal endpoints - Stack Overflow
PayPal Response to SSL 3.0 Vulnerability (aka POOD... -