19 de octubre de 2014

POODLE. Vulnerabilidad en el protocolo SSL 3.0

 SSL 3.0 es un protocolo obsoleto e inseguro. Aprovechando la compatibilidad hacia atrás que soportan muchas implementaciones TLS, es posible forzar su uso y romper el cifrado de la comunicación si se dispone de cierto control sobre la red entre el cliente y el servidor. La vulnerabilidad se ha catalogado con Importancia: 4 - Alta
Recursos afectados
  •  Todos los sistemas que soporten el protocolo SSL 3.0.
Detalle impacto de la vulnerabilidad
  • Este ataque, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption), permite a un atacante "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0.
  • Esto permitiría realizar acciones como secuestrar sesiones o loguearse como otros usuarios.
Recomendación
  • Deshabilitar SSL 3.0 o cifradores en modo CBC con SSL 3.0, aunque se recomienda habilitar TLS_FALLBACK_SCSV para evitar problemas de compatibilidad.
Más información
Fuente: INTECO