Protección de su red de la vulnerabilidad SSL / TLS MITM [CVE-2014-0224] (Vulnerabilidad de inyección CCS de AKA)

Anuncio de aviso de seguridad de OpenSSL

OpenSSL

Anuncio

El 5 de junio de 2014, el equipo de desarrollo de OpenSSL emitió un aviso de seguridad de OpenSSL identificando siete vulnerabilidades. De estas siete vulnerabilidades, una es de particular importancia: "Vulnerabilidad MITM SSL / TLS [CVE-2014-0224]".

Impacto

La vulnerabilidad SSL / TLS MITM [CVE-2014-0224] no afecta las claves privadas de su certificado, lo que significa que no necesita volver a escribir o volver a emitir sus certificados; más bien, afecta una sesión individual. Un atacante puede usar esta vulnerabilidad para forzar un protocolo de enlace (conexión) para usar material de claves débil en clientes y servidores OpenSSL SSL / TLS. Una vez que se hace este apretón de manos, un atacante puede usar un ataque Man-in-the-middle (MITM) para debilitar el cifrado SSL para descifrar el tráfico (comunicaciones) entre el cliente atacado y el servidor. Para que este ataque funcione, tanto el servidor como el cliente deben ejecutar versiones afectadas de OpenSSL.

Versiones afectadas

Las versiones de OpenSSL que se ven afectadas son las siguientes:

  • Para clientes: todas las versiones de OpenSSL
    Tenga en cuenta que los clientes que usan Internet Explorer, Firefox, Safari y Chrome (escritorio e iOS) no se ven afectados.
  • Para servidores: versiones 1.0.1 y 1.0.2-beta1

Solución

Parches OpenSSL

Los parches de OpenSSL están disponibles ahora en https://www.openssl.org/ :

  • Los usuarios de OpenSSL 1.0.1 DTLS deben actualizar a 1.0.1h .
  • Los usuarios de OpenSSL 1.0.0 DTLS deben actualizar a 1.0.0m .
  • Los usuarios de OpenSSL 0.9.8 DTLS deben actualizar a 0.9.8za .
Parches específicos del vendedor

Si usa la versión de OpenSSL de un proveedor, busque la actualización correcta directamente de su proveedor:

Conclusión

Los sitios web y servidores con cifrado SSL siguen siendo seguros. Las vulnerabilidades que se descubrieron están en el software en sí y no en las Autoridades de certificación o los protocolos SSL / TLS. Una vez que se aplican los parches, sus sistemas están protegidos contra las vulnerabilidades reveladas por el equipo de desarrollo de OpenSSL.

  • OpenSSL, vulnerabilidad, ssl, MITM [CVE-2014-0224], tls, Vulnerabilidad de inyección CCS de AKA
  • 0 utilizatori au considerat informația utilă
Răspunsul a fost util?

Articole similare

Instrucciones para desabilitar SSL v3 en servidores Apache

Dependiendo de cómo estén configurados sus servidores Apache, es posible que deba deshabilitar...

Vulnerabilidad del protocolo SSL 3.0 y ataque POODLE

Alerta (TA14-290A) Sistemas afectados Todos los sistemas y aplicaciones que utilizan Secure...

Instrucciones para desabilitar SSL v3 en servidores IIS

Dependiendo de cómo estén configurados sus servidores de Windows, es posible que deba...

Powered by WHMCompleteSolution