Nova vulnerabilidade apelidada como Poodle afeta o protocolo SSL v3
Uma nova vulnerabilidade no protocolo SSL v3, apelidada como “Poodle” foi divulgada pelo time de segurança da Google. Servidores web precisam desabilitar o “SSLv3” e utilizar protocolos de segurança mais modernos o mais rápido possível, a fim de evitar possíveis ataques visando o comprometimento de informações privadas dos usuários.
A falha ocorre devido o fato do protocolo SSL v3 não realizar a validação de alguns elementos de dados. Respectivamente, um atacante pode interceptar essas informações e extrair o conteúdo do texto criptografado, obtendo acesso ao que trafega na rede, podendo assim realizar um ataque do tipo Man-in-the-middle.
Ainda não existe um patch para esta correção. A melhor opção é desativar o suporte ao SSLv3 e utilizar apenas os protocolos TLSv1, TLSv1.1 e TLSv1.2. Quando o suporte ao SSLv3 é desabilitado os clientes que acessam o site ou loja virtual utilizando o navegador Internet Explorer 6.0 ou versões inferiores, terão problemas de visualização.
A alternativa recomendada é utilizar uma função do SSL chamada TLS_FALLBACK_SCSV. Este recurso notifica o cliente que você tentou primeiramente utilizar uma criptografia mais forte, com isso é possível rejeitar a tentativa de fazer downgrade no nível da criptografia, o que poderia prevenir um ataque do tipo MiTM. Um patch para o OpenSSL 1.0.1 foi lançado onde existe uma implementação do TLS_FALLBACK_SCSV.
Mantenham seus servidores de hospedagem de sites seguros!
Pingback: Nova vulnerabilidade apelidada como Poodle afeta o protocolo SSL v3 | Hospedagem de sites BH, Santa Luzia/MG - ( Hospedeme )