Nova vulnerabilidade apelidada como Poodle afeta o protocolo SSL v3

Uma nova vulnerabilidade no protocolo SSL v3, apelidada como “Poodle” foi divulgada pelo time de segurança da Google. Servidores web precisam desabilitar o “SSLv3” e utilizar protocolos de segurança mais modernos o mais rápido possível, a fim de evitar possíveis ataques visando o comprometimento de informações privadas dos usuários.

A falha ocorre devido o fato do protocolo SSL v3 não realizar a validação de alguns elementos de dados. Respectivamente, um atacante pode interceptar essas informações e extrair o conteúdo do texto criptografado, obtendo acesso ao que trafega na rede, podendo assim realizar um ataque do tipo Man-in-the-middle.

Ainda não existe um patch para esta correção. A melhor opção é desativar o suporte ao SSLv3 e utilizar apenas os protocolos TLSv1, TLSv1.1 e TLSv1.2. Quando o suporte ao SSLv3 é desabilitado os clientes que acessam o site ou loja virtual utilizando o navegador Internet Explorer 6.0 ou versões inferiores, terão problemas de visualização.

A alternativa recomendada é utilizar uma função do SSL chamada TLS_FALLBACK_SCSV. Este recurso notifica o cliente que você tentou primeiramente utilizar uma criptografia mais forte, com isso é possível rejeitar a tentativa de fazer downgrade no nível da criptografia, o que poderia prevenir um ataque do tipo MiTM. Um patch para o OpenSSL 1.0.1 foi lançado onde existe uma implementação do TLS_FALLBACK_SCSV.

Mantenham seus servidores de hospedagem de sites seguros!