quinta-feira, dezembro 13, 2018
Home » Artigos » Segurança – POODLE (Padding Oracle On Downgraded Legacy Encryption)

Segurança – POODLE (Padding Oracle On Downgraded Legacy Encryption)

É isso mesmo, uma falha de segurança batizada de Poodle, veja o que ele afeta e como se proteger.
Alguns colegas que atuam como analistas de segurança, estão compartilhando informações sobre uma nova falha apelidada de “Poodle”, que afeta o padrão antigo SSL 3.0. A falha permite ao atacante obter dados do sistema, através de sessões abertas.

Segue o link divulgado pela RedHat:
https://access.redhat.com/articles/1232123

Embora o SSL 3.0 já esteja na casa dos 15 anos de idade e existam sistemas mais seguros, como o TLS, os browsers mais utilizados ainda suportam este modo.
O Google pretende retirar do Chrome o suporte ao SSL 3.0 nos próximos meses, e já existem noticias que a Mozilla fará o mesmo no Firefox.
No lado do cliente, irão surgir soluções mais praticas rapidamente e existe pouco com que se preocupar. O problema é quando se pensa no lado do servidor. Com a tendência do SSl 3.0 ser descontinuado, alguns sites mais antigos terão problemas de compatibilidade.

Para os administradores, é preciso verificar as formas de desabilitar o SSL 3.0, do IIS, Apache e Nginx, seguem 3 links publicados pelo site “digicert.com”, que podem auxiliar:

–  IIS: https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
–  Apache: https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm
–  Nginx: https://www.digicert.com/ssl-support/nginx-disabling-ssl-v3.htm
Abraços.
André Francisco Gotardo

Sobre André Gotardo

Bacharel em Ciência da Computação, analista Linux em Datacenter.

2 comentários

  1. Reis

    Olá André Gotardo…. saberia me informar se o google já tem alguma previsão de retirar o SSL de seus servidores. Estou meio preocupado, pois utilizo o serviço GCM do google e não posso alterar meus clientes para TSL. Tem alguma forma de descobrir isso? Obrigado

    • André Gotardo

      Prezado Reis, obrigado por postar a sua dúvida. O Google ainda não forneceu uma data oficial para isto, porem já divulgou que ira ocorrer brevemente. Como a falha esta sendo divulgada, a tendência é que o volume de ataques aumente. Vamos acompanhar de perto, visto que se trata de um processo de grande impacto para todos. Assim que tivermos mais novidades, iremos informando neste site. Abraços!

Gostou do conteúdo? Deixe seu comentário