Protección de su red de la vulnerabilidad SSL / TLS MITM [CVE-2014-0224] (Vulnerabilidad de inyección CCS de AKA)

Anuncio de aviso de seguridad de OpenSSL

OpenSSL

Anuncio

El 5 de junio de 2014, el equipo de desarrollo de OpenSSL emitió un aviso de seguridad de OpenSSL identificando siete vulnerabilidades. De estas siete vulnerabilidades, una es de particular importancia: "Vulnerabilidad MITM SSL / TLS [CVE-2014-0224]".

Impacto

La vulnerabilidad SSL / TLS MITM [CVE-2014-0224] no afecta las claves privadas de su certificado, lo que significa que no necesita volver a escribir o volver a emitir sus certificados; más bien, afecta una sesión individual. Un atacante puede usar esta vulnerabilidad para forzar un protocolo de enlace (conexión) para usar material de claves débil en clientes y servidores OpenSSL SSL / TLS. Una vez que se hace este apretón de manos, un atacante puede usar un ataque Man-in-the-middle (MITM) para debilitar el cifrado SSL para descifrar el tráfico (comunicaciones) entre el cliente atacado y el servidor. Para que este ataque funcione, tanto el servidor como el cliente deben ejecutar versiones afectadas de OpenSSL.

Versiones afectadas

Las versiones de OpenSSL que se ven afectadas son las siguientes:

  • Para clientes: todas las versiones de OpenSSL
    Tenga en cuenta que los clientes que usan Internet Explorer, Firefox, Safari y Chrome (escritorio e iOS) no se ven afectados.
  • Para servidores: versiones 1.0.1 y 1.0.2-beta1

Solución

Parches OpenSSL

Los parches de OpenSSL están disponibles ahora en https://www.openssl.org/ :

  • Los usuarios de OpenSSL 1.0.1 DTLS deben actualizar a 1.0.1h .
  • Los usuarios de OpenSSL 1.0.0 DTLS deben actualizar a 1.0.0m .
  • Los usuarios de OpenSSL 0.9.8 DTLS deben actualizar a 0.9.8za .
Parches específicos del vendedor

Si usa la versión de OpenSSL de un proveedor, busque la actualización correcta directamente de su proveedor:

Conclusión

Los sitios web y servidores con cifrado SSL siguen siendo seguros. Las vulnerabilidades que se descubrieron están en el software en sí y no en las Autoridades de certificación o los protocolos SSL / TLS. Una vez que se aplican los parches, sus sistemas están protegidos contra las vulnerabilidades reveladas por el equipo de desarrollo de OpenSSL.

  • OpenSSL, vulnerabilidad, ssl, MITM [CVE-2014-0224], tls, Vulnerabilidad de inyección CCS de AKA
  • 0 Los Usuarios han Encontrado Esto Útil
¿Fue útil la respuesta?

Artículos Relacionados

Instrucciones para desabilitar SSL v3 en servidores Apache

Dependiendo de cómo estén configurados sus servidores Apache, es posible que deba deshabilitar...

Vulnerabilidad del protocolo SSL 3.0 y ataque POODLE

Alerta (TA14-290A) Sistemas afectados Todos los sistemas y aplicaciones que utilizan Secure...

Instrucciones para desabilitar SSL v3 en servidores IIS

Dependiendo de cómo estén configurados sus servidores de Windows, es posible que deba...

Powered by WHMCompleteSolution