POODLE – Vulnerabilidade na Segurança da Web

Seguindo a onda de batizar novas vulnerabilidades com nomes chamativos, pesquisadores da Google anunciaram ontem o POODLE (Padding Oracle On Downgraded Legacy Encryption), que afeta o padrão antigo SSL 3.0.

O ataque do tipo MitM é relativamente complexo mas permite ao atacante obter os dados em claro de sessões SSL 3.0. Atualmente, a maioria dos sistemas usa por padrão TSL, e portanto esta vulnerabilidade não entraria no mesmo nível de exposição do Heartbleed ou Shellshock. A Mozilla já anunciou que irá eliminar o suporte a SSL 3.0 na próxima versão do Firefox em novembro, e movimentos similares devem vir da Microsoft e Google.

É aí que o POODLE pode requerer atenção. Sistemas internos legados que façam uso de SSL 3.0 podem deixar de funcionar conforme os navegadores forem perdendo o suporte a este padrão. Se você tem algum sistema web antigo que faça uso de SSL, verifique se ele usa SSL 3.0.

No lado dos servidores, você pode seguir estes procedimentos para o IIS, Apache e Nginx para desabilitar SSL 3.0.