{"id":1139,"date":"2014-10-16T02:13:19","date_gmt":"2014-10-16T08:13:19","guid":{"rendered":"https:\/\/www.lastdragon.net\/?p=1139"},"modified":"2014-10-16T02:16:12","modified_gmt":"2014-10-16T08:16:12","slug":"vulnerabilidad-poodle-sslv3-y-como-solucionarlo","status":"publish","type":"post","link":"https:\/\/www.lastdragon.net\/?p=1139","title":{"rendered":"Vulnerabilidad Poodle ( sslv3 ) y como solucionarlo"},"content":{"rendered":"

\u00daltimamente me he quejado mucho del amarillismo con el que los \u201c expertos en seguridad inform\u00e1tica \u201c dan las noticias de vulnerabilidades, le ponen un \u00e9nfasis de apocalipsis zombie o del fin del mundo. Esta fue mi queja cuando Heartbleed<\/a> y ShellShock<\/a> <\/p>\n

Poodle no es tan grave, solucionarlo toma menos de 60 segundos en cualquier servidor web que corra con Apache Web Server. <\/p>\n

El ataque b\u00e1sicamente consiste en obligar al servidor y al navegador a usar sslv3 siendo este la parte vulnerable, claro que cuando digo vulnerable el atacante aun tiene mucho trabajo que hacer tan solo para tratar de descifrar la conexi\u00f3n. El ataque es inviable por que requiere un hombre en el medio para poder obtener informaci\u00f3n. Ahora SSL es anticuado pr\u00e1cticamente obsoleto, tenemos a la mano el TLS, si el problema esta en sslv3 pues simple, no lo usen ni que fuera obligatorio, las conexiones se pueden cifrar usando TLS.<\/p>\n

La siguiente l\u00ednea aplicada en la configuraci\u00f3n de Apache WEB Server anula el bug , ni siquiera son requeridos parches para anularlo, solo una l\u00ednea de configuraci\u00f3n.<\/p>\n

SSLProtocol TLSv1 TLSv1.1 TLSv1.2<\/code><\/p>\n

Escribir esa l\u00ednea, dejando de lado el SSL por TLS en menos de 60 segundos hace que el servidor y las conexiones que despacha sean seguras nuevamente.<\/p>\n

La demostraci\u00f3n viene en el siguiente video.<\/p>\n