CVE-2014-3566
CVE-2014-3566
En resumen
SSL 3.0 tiene una debilidad en cómo maneja el relleno de datos cifrados, permitiendo que atacantes descifren mensajes interceptados. Este fallo, conocido como POODLE, afecta sistemas de cifrado antiguos aún en uso.
Detalle técnico
SSL 3.0 implementa relleno CBC no determinístico, habilitando ataques de padding-oracle donde un atacante MITM puede descifrar sistemáticamente datos cifrados observando respuestas de validación de relleno. La explotación requiere interceptar el tráfico cliente-servidor, típicamente forzando un downgrade de TLS a SSL 3.0.
Resumen generado y traducido por IA a partir de la descripción oficial.
The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, uses nondeterministic CBC padding, which makes it easier for man-in-the-middle attackers to obtain cleartext data via a padding-oracle attack, aka the "POODLE" issue.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://support.apple.com/kb/HT6531http://marc.info/?l=bugtraq&m=142103967620673&w=2http://aix.software.ibm.com/aix/efixes/security/openssl_advisory11.aschttp://www.securitytracker.com/id/1031090http://blog.nodejs.org/2014/10/23/node-v0-10-33-stable/http://rhn.redhat.com/errata/RHSA-2014-1880.htmlhttp://marc.info/?l=bugtraq&m=142804214608580&w=2https://h20566.www2.hpe.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04819635http://www.kb.cert.org/vuls/id/577193http://marc.info/?l=bugtraq&m=141577087123040&w=2http://marc.info/?l=bugtraq&m=141715130023061&w=2http://lists.opensuse.org/opensuse-security-announce/2014-10/msg00008.html