Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en el protocolo SSL 3.0 (POODLE)

Vulnerabilidad en el protocolo SSL 3.0 (POODLE)

Fecha de publicación: 
15/10/2014
Importancia: 
4 - Alta
Recursos afectados: 

Todos los sistemas que soporten el protocolo SSL 3.0.

Descripción: 

SSL 3.0 es un protocolo obsoleto e inseguro. Aprovechando la compatibilidad hacia atrás que soportan muchas implementaciones TLS, es posible forzar su uso y romper el cifrado de la comunicación si se dispone de cierto control sobre la red entre el cliente y el servidor.

Solución: 

Deshabilitar SSL 3.0 o cifradores en modo CBC con SSL 3.0, aunque se recomienda habilitar TLS_FALLBACK_SCSV para evitar problemas de compatibilidad.

Detalle: 

Este ataque, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption), permite a un atacante "calcular" el texto plano de tokens o cookies HTTPS, forzando un fallback a SSL 3.0.

Esto permitiría realizar acciones como secuestrar sesiones o loguearse como otros usuarios.