Investigadores de Google revelan caniche insecto, capaz de explotar SSL 3.0 repliegue
Greg Westfall
He sospechado durante mucho tiempo que los caniches son realmente para nada bueno, y ahora tengo la prueba. Hoy en día los investigadores de Google publicó la noticia de una nueva caniche temida (Padding Oracle On Degradado cifrado Legacy) ataque, que puede eludir efectivamente protecciones SSL, el mismo protocolo que heartbleed dirigido a principios de este año.
El error no es tan grave o de largo alcance como heartbleed, pero sigue siendo una amenaza, no obstante. ¿Qué hace este error hacer exactamente? Básicamente SSL protege los datos que está en tránsito entre un sitio web y un usuario, por lo que este error podría permitir que un atacante para reemplazar los datos en tránsito y abre la puerta a todo tipo de ataques. El caniche objetivos de errores SSL 3.0, que es casi 15 años, pero todavía tiene un amplio nivel de apoyo, no obstante.
Una forma de evitar este problema es desactivar simplemente SSL 3.0 de apoyo, pero eso puede crear problemas de compatibilidad. Google dice que su respuesta recomendada es para los administradores de sistemas "para apoyar TLS_FALLBACK_SCSV. Este es un mecanismo que resuelve los problemas causados por las conexiones reintentos fracasado y por lo tanto evita que los atacantes inducir navegadores para utilizar SSL 3.0. También evita que las rebajas de TLS 1.2 a 1.1 o 1.0 y así puede ayudar a prevenir futuros ataques. "
Por parte de Google, Chrome y sus servidores han apoyado TLS_FALLBACK_SCSV desde febrero y dice que se puede utilizar sin problemas de compatibilidad. Google dice que también comenzará a cambios de prueba para Chrome hoy que va a desactivar el retorno de SSL 3.0. Para más detalles sobre el error caniche (aka poodlebleed), usted querrá dirigirse al blog de seguridad en línea de Google.