Segurança – POODLE (Padding Oracle On Downgraded Legacy Encryption)

É isso mesmo, uma falha de segurança batizada de Poodle, veja o que ele afeta e como se proteger.
Alguns colegas que atuam como analistas de segurança, estão compartilhando informações sobre uma nova falha apelidada de “Poodle”, que afeta o padrão antigo SSL 3.0. A falha permite ao atacante obter dados do sistema, através de sessões abertas.

Segue o link divulgado pela RedHat:
https://access.redhat.com/articles/1232123

Embora o SSL 3.0 já esteja na casa dos 15 anos de idade e existam sistemas mais seguros, como o TLS, os browsers mais utilizados ainda suportam este modo.
O Google pretende retirar do Chrome o suporte ao SSL 3.0 nos próximos meses, e já existem noticias que a Mozilla fará o mesmo no Firefox.
No lado do cliente, irão surgir soluções mais praticas rapidamente e existe pouco com que se preocupar. O problema é quando se pensa no lado do servidor. Com a tendência do SSl 3.0 ser descontinuado, alguns sites mais antigos terão problemas de compatibilidade.

Para os administradores, é preciso verificar as formas de desabilitar o SSL 3.0, do IIS, Apache e Nginx, seguem 3 links publicados pelo site “digicert.com”, que podem auxiliar:

–  IIS: https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
–  Apache: https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm
–  Nginx: https://www.digicert.com/ssl-support/nginx-disabling-ssl-v3.htm
Abraços.
André Francisco Gotardo