quinta-feira, novembro 23, 2017
Breaking News
Home » Artigos » Segurança – POODLE (Padding Oracle On Downgraded Legacy Encryption)

Segurança – POODLE (Padding Oracle On Downgraded Legacy Encryption)

É isso mesmo, uma falha de segurança batizada de Poodle, veja o que ele afeta e como se proteger.
Alguns colegas que atuam como analistas de segurança, estão compartilhando informações sobre uma nova falha apelidada de “Poodle”, que afeta o padrão antigo SSL 3.0. A falha permite ao atacante obter dados do sistema, através de sessões abertas.

Segue o link divulgado pela RedHat:
https://access.redhat.com/articles/1232123

Embora o SSL 3.0 já esteja na casa dos 15 anos de idade e existam sistemas mais seguros, como o TLS, os browsers mais utilizados ainda suportam este modo.
O Google pretende retirar do Chrome o suporte ao SSL 3.0 nos próximos meses, e já existem noticias que a Mozilla fará o mesmo no Firefox.
No lado do cliente, irão surgir soluções mais praticas rapidamente e existe pouco com que se preocupar. O problema é quando se pensa no lado do servidor. Com a tendência do SSl 3.0 ser descontinuado, alguns sites mais antigos terão problemas de compatibilidade.

Para os administradores, é preciso verificar as formas de desabilitar o SSL 3.0, do IIS, Apache e Nginx, seguem 3 links publicados pelo site “digicert.com”, que podem auxiliar:

–  IIS: https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
–  Apache: https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm
–  Nginx: https://www.digicert.com/ssl-support/nginx-disabling-ssl-v3.htm

Abraços.
André Francisco Gotardo

Sobre André Gotardo

Bacharel em Ciência da Computação, analista Linux em Datacenter.

Veja também!

Exchange, IIS, Lync – Corrigindo Drown Attack

Neste artigo veremos como desativar o SSLv2 em servers que tenham IIS o procedimento é simples, contudo, o reboot é necessário para que as alterações surtam efeito.

2 comentários

  1. Reis

    Olá André Gotardo…. saberia me informar se o google já tem alguma previsão de retirar o SSL de seus servidores. Estou meio preocupado, pois utilizo o serviço GCM do google e não posso alterar meus clientes para TSL. Tem alguma forma de descobrir isso? Obrigado

    • Prezado Reis, obrigado por postar a sua dúvida. O Google ainda não forneceu uma data oficial para isto, porem já divulgou que ira ocorrer brevemente. Como a falha esta sendo divulgada, a tendência é que o volume de ataques aumente. Vamos acompanhar de perto, visto que se trata de um processo de grande impacto para todos. Assim que tivermos mais novidades, iremos informando neste site. Abraços!

Este artigo lhe foi útil? comente e ajude outros acrescentando seu ponto de vista!