Navigation

Related Articles

Back to Latest Articles
Cómo desactivar SSL3: Poodle amenaza la red

Cómo desactivar SSL3: Poodle amenaza la red


Juanmi Taboada
Juanmi Taboada
Cómo desactivar SSL3: Poodle amenaza la red

Poodle se convierte en una amenaza para la red, se recomienda desactivar SSL3 del navegador.

Hace tan sólo 2 días Google reveló una nueva vulnerabilidad que afecta a la mayoría de las comunicaciones en Internet y que a pesar de tener un bonito nombre oculta efectos potencialmente desastrosos. POODLE (Padding Oracle On Downgraded Legacy Encryption) permite a un atacante romper la seguridad de SSL 3.0 (protocolo usado mundialmente para comunicaciones seguras pero que tiene más de 14 años). Este protocolo aún se utiliza como método de conexión en muchas conexiones seguras (incluídas bancos) cuando los protocolos más nuevos no parecen negociar bien la conexión, en tal caso los navegadores cambian a SSL 3.0 (también conocido como SSLv3). Debido a este bug un atacante puede provocar errores en la conexión con nuevos protocolos a fin de que el navegador cambie a SSL 3.0  y por lo tanto comenzarían a usar este viejo protocolo y ahora demostrado que es completamente ineficaz. Los investigadores concluyen que “para lograr un cifrado seguro, SSL 3.0 debe evitarse por completo.”

Al igual que con Heartbleed y Shellshock, hay millones de usuarios finales que no pueden hacer nada al respecto. No obstante las compañías de todo el mundo están luchando para publicar parches para sus servidores y dispositivos embebidos para que estos no usen bajo ningún concepto el protocolo SSL 3.0. Google descubrió la vulnerabilidad hace un mes (en septiembre), y, como se hace comúnmente con tales cuestiones generalizadas, primero se alertó a los desarrolladores de software y hardware previa publicación al resto del mundo.

Si bien la mayoría de navegadores actuales están preparados para usar TLS y es el protocolo preferido por defecto, desde Centrologic os recomendamos preventivamente deshabilitar SSL3 del navegador y también activar TLS_FALLBACK_SCSV lo que mitigaría la parte del downgrade.

Para más información sobre cómo desabilitar SSL3:

Fuente: NBC News

Show Comments (0)

Comments

Related Articles

Learn how to Build an Engine Controller for your Alioli Submarine UAV Drone
Sistemas

Learn how to Build an Engine Controller for your Alioli Submarine UAV Drone

In my last post, “Alioli ROV Boards“, I described most of the hardware I use to build Alioli ROV and how I plan to use it. In this post, I show how the UAV submarine...

Posted on by Juanmi Taboada
Vim with steroids: code faster and better!
Programación

Vim with steroids: code faster and better!

Yes, I am a developer who writes its stuff with “vim”. What’s up? Several times I have discussed if Vim is or is not an IDE. Many people don’t understand...

Posted on by Juanmi Taboada