Hace apenas dos meses informábamos sobre POODLE la vulnerabilidad que parecía destinada a enterrar definitivamente al protocolo SSL. Ahora podemos comprobar como el mismo problema afecta también a diversas implementaciones de TLS.

En octubre se dio a conocer la vulnerabilidad POODLE ("Padding Oracle On Downgraded Legacy Encryption"), que basa su ataque sobre el modo CBC (Cifrado por bloques) lo que hace que este modo sea vulnerable a un ataque variante de Padding Oracle.

En aquel momento, se daba por enterrado SSL y se instaba a obligar al uso de TLS. Recomendábamos también el uso de la opción TLS_FALLBACK_SCSV... Continuar leyendo