Ataque POODLE (CVE-2014-3566)
¿Qué es Ataque POODLE (CVE-2014-3566)?
Ataque POODLE (CVE-2014-3566)Ataque de oráculo de padding de 2014 contra SSL 3.0 (y algunas implementaciones TLS defectuosas) que permite a un man-in-the-middle descifrar bytes sensibles de una sesión HTTPS.
POODLE —Padding Oracle On Downgraded Legacy Encryption— fue divulgado por investigadores de Google en octubre de 2014 como CVE-2014-3566. El modo CBC de SSL 3.0 no autentica los bytes de padding, así que un atacante activo en la ruta, capaz de forzar el downgrade a SSL 3.0, puede adivinar un byte de texto plano cada ~256 peticiones observando si se acepta el padding. Los objetivos suelen ser cookies web. Una variante relacionada ("POODLE on TLS") afectó a implementaciones TLS que copiaban la lógica de SSLv3. Mitigaciones: desactivar SSL 3.0 en todo, habilitar TLS_FALLBACK_SCSV para evitar downgrades forzados, preferir TLS 1.2/1.3 con AEAD y retirar el soporte CBC heredado.
● Ejemplos
- 01
Atacante on-path en Wi-Fi público forzando al navegador a usar SSL 3.0 para robar cookies de sesión.
- 02
Desactivación masiva de SSL 3.0 en servidores, navegadores y CDN a finales de 2014 como respuesta a POODLE.
● Preguntas frecuentes
¿Qué es Ataque POODLE (CVE-2014-3566)?
Ataque de oráculo de padding de 2014 contra SSL 3.0 (y algunas implementaciones TLS defectuosas) que permite a un man-in-the-middle descifrar bytes sensibles de una sesión HTTPS. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Ataque POODLE (CVE-2014-3566)?
Ataque de oráculo de padding de 2014 contra SSL 3.0 (y algunas implementaciones TLS defectuosas) que permite a un man-in-the-middle descifrar bytes sensibles de una sesión HTTPS.
¿Cómo defenderse de Ataque POODLE (CVE-2014-3566)?
Las defensas contra Ataque POODLE (CVE-2014-3566) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque POODLE (CVE-2014-3566)?
Nombres alternativos comunes: CVE-2014-3566, Padding-oracle de SSL 3.0.