POODLE: SSLv3 vulnerability

POODLE: SSLv3 vulnerability

Recientemente se ha detectado una vulnerabilidad en Secure Sockets Layer (SSL) 3.0 cryptography protocol (SSLv3) que puede ser utilizada para interceptar datos que se suponen cifrados. El defecto ha sido descubierto por tres investigadores de seguridad de Google que detallan y explican como puede ser explotada esta vulnerabilidad a través de de lo que han llamado Padding Oracle On Downgraded Legacy Encryption (POODLE) attack (CVE-2014-3566).

Puede encontrar más información aquí.

En el caso concreto de Studio y tomcat se puede evitar fácilmente este fallo para las conexiones HTTPS que utilizan protocolo seguro, utilizando la capa TLS en vez de SSL. Para ello hay que editar el fichero server.xml y mofificar el valor para el Connector https que hace referencia al protocolo utilizado:

Reemplazar este atributo

sslProtocol="TLS"

por este otro

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

Una vez reiniciado el servidor Studio ya no estará disponible el cifrado SSL, únicamente el TLS. Para comprobarlo se puede utilizar la siguiente web

https://www.tinfoilsecurity.com/poodle

o utilizar el siguiente comando para la IP o nombre correspondiente (el ejemplo utiliza puerto 443)

nmap --script ssl-cert,ssl-enum-ciphers -p 443 address_of_server