miércoles, 15 de octubre de 2014

Investigadores de Google alertan de Poodle,un bug parecido a HeartBleed

miércoles, octubre 15, 2014 No hay comentaros

Muy buenas a todos,
Unos investigadores de Google han publicado el bug en cuestión y es que el informe describe un ataque Poodle(abreviatura de “Padding Oracle On Downgraded Legacy Encryption“) que elude efectivamente las protecciones SSL, y usa el mismo protocolo que Heartbleed.
dsdsd

Este error, también conocido como “Poodlebleed” no es tan grave como Heartbleed, pero aún así ha provocado la alarma en la comunidad de investigación.
hh
Recordemos que SSL protege los datos entre un sitio web y un usuario, por lo general se indica HTTPS. Si el protocolo SSL está comprometido, un atacante sofisticado podría interceptar y reemplazar los datos en tránsito, abriendo la puerta a todo tipo de ataques.
heartbleed-exploit
Los rumores han estado circulando durante todo el día que SSL era inseguro, pero un informe explica el error al detalle, dando a los administradores ventaja para corregir el error.
Encryption-820x420
SSL 3.0 tiene casi 15 años, pero aun se usa y lo más importante es que casi todos los navegadores lo soportan y, con el fin de evitar errores en los servidores HTTPS, los navegadores volverán a intentar conexiones con versiones de protocolo mayores, incluyendo SSL 3.0.
it-security-800-shutterstock-120638998
Debido a que un atacante de la red puede provocar fallos en la conexión, que pueden empeorar el uso de SSL 3.0 y luego aprovechar este problema y la solución está desactivando el SSL 3.0 o CBC en modo cifrado y ya es suficiente para solucionar este problema, pero presenta problemas de compatibilidad
5-hackers-famosos-que-debes-conocer
La solución también és TLS_FALLBACK_SCSV ya que este es un mecanismo resuelve los problemas causados ​​por las conexiones y por lo tanto evita los atacantes como también evita el downgrade de TLS 1.2 a 1.1 o 1.0 y así puede ayudar a prevenir futuros ataques.
NVHH2
Si tu navegador es compatible actualmente con SSL 3.0 o SSL 2.0 y no es compatible conTLS_FALLBACK_SCSV, que son vulnerables al error Poodle entonces necesita actualizar desactivar el soporte SSL 2/3.
zeus
Actualmente, sólo Google Chrome apoya TLS_FALLBACK_SCSV, todos los demás navegadores desactivando SSL 3.0 están mas seguros.
Queréis ver si soys vulnerables a ese bug? Entrad en Qualis y os informará de todo:
Como parchear la vulnerabilidad en Mozilla Firefox:
Os dejo también el PDF de SSL 3.0 Exploitation, muy interesante en mi opinión.
Que pensais de esto? No es tan potente como HeartBleed pero igualmente hay que estar al tanto de todo.

Categories: , , , , , , ,

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Contribucion

Subscribete al RSS Feed Siguenos en Twitter!