Ir al contenido principal
BlogPanorama de la nubeVulnerabilidad de POODLE SSL 3.0

Vulnerabilidad de POODLE SSL 3.0

Ayer, Google publicó el descubrimiento de una vulnerabilidad de SSL 3.0 llamada "POODLE". Esta vulnerabilidad permite a un atacante descifrar los datos transferidos y leer con éxito el texto plano. Aunque muchos navegadores soportan protocolos más nuevos y seguros, un atacante puede crear problemas de conectividad, haciendo que el navegador vuelva al vulnerable protocolo SSL 3.0.

¿Es vulnerable la infraestructura de Linode ?

Hemos desactivado SSL 3.0 en nuestros servidores web, NodeBalancers y el resto de nuestra infraestructura. La rápida ejecución de nuestro equipo de seguridad ha protegido nuestra infraestructura de esta vulnerabilidad.

¿Soy vulnerable?

Si su sitio web Linode permite conexiones cifradas, deberá asegurarse de que SSL 3.0 esté completamente desactivado. Esto no significa que se ofrezca primero un protocolo más fuerte como TLS, sino que SSL 3.0 no debería ser una opción en absoluto. Puede comprobar si es vulnerable y cómo desactivar SSL 3.0 utilizando nuestra guía: Desactivación de SSLv3 para POODLE.


Comentarios (8)

  1. Author Photo

    Thank you guys for this rapid response.
    I think you should give a handy simple way on how to disable ssl 3.0 or deploy TLS_FALLBACK_SCSV into a server, such as how to change ssl.conf file.

  2. Author Photo

    In response to 水景一页, the Zmap people have put together a great resource:

    https://zmap.io/sslv3/

    There’s a nice cheat sheet for a few of the server-side packages:

    https://zmap.io/sslv3/servers.html

  3. Author Photo

    The post has been updated with our guide on how to check for and then disable SSL 3.0.

  4. Author Photo

    Hi,

    This guy is kindly enough to provide backported dovecot 2.0.9 which has SSlv3 disabled: https://fh.kuehnel.org/doevcot-ssl3/.

  5. Author Photo

    will there be any option in the near future to support SSL3 with TLS_FALLBACK_SCSV?

    IE6 may be dwindling, but it’s still out there in some markets.

  6. Author Photo

    Thank you so Much for Helpful Tips.

  7. Author Photo

    TLS_FALLBACK_SCSV on web server end is only part of the solution as it only works if client web browser end supports TLS_FALLBACK_SCSV https://community.centminmod.com/threads/poodle-attacks-on-sslv3-vulnerability.1651/page-3#post-8351 . So until all web browsers update to support such, SSLv3 should be disabled on server end.

  8. Author Photo

    Thank you So Much @George

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.