Poodle: explotando SSL 3.0
Publicado un nuevo ataque contra la obsoleta y no segura versión 3.0 del protocolo criptográfico SSL, llamado POODLE (Padding Oracle On Downgraded Legacy Encryption). Aprovechando la compatibilidad hacia atrás que soportan muchas implementaciones de TLS, es posible forzar un fallback a SSL 3.0, que permitiría un atacante "calcular" el texto plano de tokens o cookies HTTPS y realizar acciones como secuestrar sesiones o autenticarse como otros usuarios.
En Diciembre del 2014 se publico que algunas implementaciones de Transport Layer Security (TLS) también son vulnerables al ataque POODLE.
Referencias:
- 14/10/2014 openssl.org This POODLE Bites: Exploiting The SSL 3.0 Fallback
- 14/10/2014 googleonlinesecurity.blogspot.com.es This POODLE bites: exploiting the SSL 3.0 fallback
- 15/10/2014 incibe-cert.es Vulnerabilidad en el protocolo SSL 3.0 (POODLE)
- 17/10/2014 us-cert.gov SSL 3.0 Protocol Vulnerability and POODLE Attack
- 15/10/2014 tools.cisco.com SSL Padding Oracle On Downgraded Legacy Encryption (POODLE) Vulnerability
- 08/12/2014 imperialviolet.org The POODLE bites again
- 08/12/2014 f5.com SOL15882: TLS1.x padding vulnerability CVE-2014-8730
Etiquetas: