Nonostante le somiglianze con il Bug Heartbleed in OpenSSL (con il quale condivide il bersaglio) il bug Poodle (in italiano Barboncino e acronimo di Padding Oracle On Downgraded Legacy Encryption) è meno pericoloso del primo e, per difendersi, è sufficiente adottare alcune precauzioni.
Il protocollo SSL 3.0 fu introdotto nel 1996 ed è attualmente supportato dal 95% dei browser web.
Symantec ha smesso di supportare tale protocollo dal 16 ottobre 2014. L'SSL 3.0 è infatti un protocollo obsoleto, sostituito già da tempo dai più sicuri TLS 1.0, TLS 1.1 e TLS 1.2.
Molte implementazioni TLS rimangono tuttavia retrocompatibili con SSL 3.0.
Secondo i ricercatori di Google, un hacker che abbia accesso alla rete potrebbe sfruttare questa retrocompatibilità per interferire nel processo di handshake client/server forzando il downgrade del protocollo di trasmissione alla versione SSL 3.0 e riuscendo pertanto a decriptare - tramite un attacco di tipo man-in-the-middle (MITM) - informazioni protette, come ad esempio transazioni bancarie.
TLS_FALLBACK_SCSV
, per impedire agli hacker di forzare
i browser Web all’utilizzo del protocollo SSL 3.0.SSLProtocol All -SSLv2 -SSLv3
(removes SSLv2 and SSLv3)apachectl configtest
(test your configuration)sudo service apache restart
(restart server).
E' stato inoltre rilasciato un
Advisory Security
relativo all’implementazione del TLS_FALLBACK_SCSV
in OpenSSL.
Fare riferimento alle seguenti pagine per informazioni specifiche su come disabilitare l’utilizzo del protocollo SSL 3.0:
Per ulteriore assistenza fare riferimento al Supporto Tecnico Trust Italia.
Google ha già annunciato che nelle prossime versioni di Chrome rimuoverà completamente il supporto SSL 3.0. Analogamente si comporterà Mozilla a partire dalla versione 34 di Firefox, in uscita alla fine di Novembre 2014.
Per approfondire l’argomento consigliamo la lettura di questo documento.