¿Es Java Client vulnerable por POODLE?

6

Tengo una aplicación basada en Java (que se ejecuta en java 5 o superior) que establece una conexión SSL hacia un Apache tomcat 7.0.47 en java 7.

Por lo que entiendo, para explotar POODLE necesitas un cliente que explícitamente realice una degradación fuera de protocolo. Algo que los navegadores web hacen todo el tiempo, pero muy pocos clientes lo hacen. Así que me pregunto, ya que ambos lados (servidor y cliente) están basados en Java y no en un navegador web si mi aplicación está en riesgo debido a la vulnerabilidad de POODLE.

    
pregunta Guy 23.10.2014 - 15:38
fuente

1 respuesta

1

POODLE es una vulnerabilidad en el protocolo SSLv3, específicamente en cómo maneja el relleno de los cifrados de bloque (RC4, al ser un cifrado de flujo, no es vulnerable, pero tiene sus propias debilidades).

  1. ¿El cliente y el servidor se comunican entre sí utilizando SSLv3?
  2. ¿Puede un atacante de hombre en el medio obligarlos a hablar usando SSLv3?

Si la respuesta a cualquiera de las preguntas anteriores es "sí", entonces el par cliente / servidor es potencialmente vulnerable. En realidad, realizar el ataque depende de los detalles de cómo funcionan el cliente y el servidor.

    
respondido por el Mark 24.10.2014 - 02:10
fuente

Lea otras preguntas en las etiquetas