SSL 3.0 es un
protocolo obsoleto e inseguro. Aprovechando la compatibilidad hacia atrás que
soportan muchas implementaciones TLS, es posible forzar su uso y romper el
cifrado de la comunicación si se dispone de cierto control sobre la red entre
el cliente y el servidor. La vulnerabilidad se ha catalogado con Importancia: 4
- Alta
Recursos afectados
- Todos los sistemas que soporten el protocolo SSL 3.0.
- Este ataque, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption), permite a un atacante "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0.
- Esto permitiría realizar acciones como secuestrar sesiones o loguearse como otros usuarios.
- Deshabilitar SSL 3.0 o cifradores en modo CBC con SSL 3.0, aunque se recomienda habilitar TLS_FALLBACK_SCSV para evitar problemas de compatibilidad.
- This POODLE bites: exploiting the SSL 3.0 fallback http://googleonlinesecurity.blogspot.com.au/2014/10/this-poodle-bites-exploiting-ssl-30.html