Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
17/10/2014
Poodle, el fin de SSL
Recientemente se ha identificado una vulnerabilidad crítica en SSL, empleado ampliamente en el cifrado de comunicaciones digitales. El equipo de Google Project Zero ha identificado una vulnerabilidad sobre el propio protocolo (SSL v3) que puede permitir a un atacante descifrar la información enviada. Es importante destacar que dado que se trata de una vulnerabilidad sobre el método de cifrado, no va a publicarse ningún tipo de parche (hablando estrictamente del protocolo). Por estos motivos se desaconseja su uso siempre que sea posible.
A pesar de que en la actualidad el protocolo ha sido ampliamente sustituido por TLS, éste último, cuando detecta problemas en las comunicaciones o no se gestiona adecuadamente el intercambio de mensajes inicial, opta por hacer uso de SSL v3. Un atacante podría sabotear las comunicaciones y forzar a un par cliente/servidor a usarlo, y de este modo podría interceptar y descifrar la información intercambiada.
Para los usuarios, en breve los desarrolladores de los principales navegadores publicarán actualizaciones que deshabiliten por completo el uso de SSL v3, mitigando el riesgo. Se recomienda actualizarlos en cuanto las mismas estén disonibles. Por otro lado, es recomendable que los administradores de sistemas deshabiliten el uso de SSL v3 en sus servidores, permitiendo únicamente el uso de protocolo TLS; insistimos, siempre que sea posible.
Facilitamos más información sobre la vulnerabilidad y las medidas a tomar en la siguiente alerta de seguridad publicada en nuestro portal.