Detectan Poodle, vulnerabilidad en antigua versión de SSL

Publicado el 22 octubre 2014 ¬ 13:16 pmh.mscComentarios desactivados en Detectan Poodle, vulnerabilidad en antigua versión de SSL

Vulnerabilidad descubierta en una versión antigua del protocolo SSL amenaza numerosos servidores web que contienen vestigios de soporte para tecnología que ya es obsoleta.

La vulnerabilidad SSL Man In The Middle Information Disclosure (CVE-2014-3.566) afecta a la versión 3.0 de SSL, dada a conocer en 1996, y desde entonces sustituida por varias versiones más recientes de su protocolo sucesor, TLS. Sin embargo, la vulnerabilidad todavía se puede explotar debido a que el SSL 3.0 sigue siendo soportado por casi todos los navegadores web y un gran número de servidores web.

SSL y TLS son protocolos seguros para la comunicación en Internet y el trabajo mediante el cifrado de tráfico entre dos computadoras. Al trabajar con servidores heredados o antiguos, la mayoría de los clientes TLS tienen que bajar a una versión anterior a la actual. La vulnerabilidad reside en el hecho de que un atacante potencialmente puede interferir con el proceso de handshake que verifica qué protocolo puede usar el servidor y forzarlo a utilizar SSL 3.0, incluso si se admite un protocolo más reciente.

La vulnerabilidad fue divulgada por Google, quien dijo que un ataque exitoso podría permitir a un agresor realizar un ataque man-in-the-middle (MITM), que consiste en adquirir la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado, para descifrar las cookies HTTP seguras, lo que podría permitirles robar información o tomar control de las cuentas en línea del usuario. El ataque puede ser ejecutado tanto en el servidor como del lado del cliente.

El tipo de ataque facilitado por esta vulnerabilidad es, en algunos aspectos, de naturaleza similar a la vulnerabilidad Heartbleed, que afectó a OpenSSL, una de las implementaciones más utilizadas de los protocolos de criptografía SSL y TLS. También proporciona una vía para que los atacantes extraigan datos de conexiones supuestamente seguras.

Una diferencia de esta vulnerabilidad y Heartbleed es que en este caso, el atacante requiere tener acceso a la red entre el cliente y el servidor para interferir con el proceso de handshake. Una vía potencial de ataque podría, por lo tanto, ser a través de un punto de acceso Wi-Fi público. Sin embargo, debido a que el atacante debe tener acceso a la red, este problema no es tan grave como Heartbleed.

Desactivar el soporte SSL 3.0 o el sistema de cifrado CBC con SSL 3.0, es suficiente para mitigar este problema, pero podría ocasionar dificultades de compatibilidad. Debido a esto, la recomendación de Google es cargar TLS_FALLBACK_SCSV. Este es un mecanismo que resuelve los problemas causados​​por reintentos de conexiones fallidas y por lo tanto previene que los atacantes usen SSL 3.0 en los navegadores.

Ver mas información al respecto en Fuente:
http://diarioti.com/detectan-poodle-vulnerabilidad-en-antigua-version-de-ssl/83873

saludos

ms, 22-10-2014

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies