 |
||
.Detectan Poodle, vulnerabilidad en antigua versión de SSLmsc hotline sat Wednesday, October 22, 2014 ? 
Vulnerabilidad descubierta en una versión antigua del protocolo SSL amenaza numerosos servidores web que contienen vestigios de soporte para tecnología que ya es obsoleta. La vulnerabilidad SSL Man In The Middle Information Disclosure (CVE-2014-3.566) afecta a la versión 3.0 de SSL, dada a conocer en 1996, y desde entonces sustituida por varias versiones más recientes de su protocolo sucesor, TLS. Sin embargo, la vulnerabilidad todavía se puede explotar debido a que el SSL 3.0 sigue siendo soportado por casi todos los navegadores web y un gran número de servidores web. SSL y TLS son protocolos seguros para la comunicación en Internet y el trabajo mediante el cifrado de tráfico entre dos computadoras. Al trabajar con servidores heredados o antiguos, la mayoría de los clientes TLS tienen que bajar a una versión anterior a la actual. La vulnerabilidad reside en el hecho de que un atacante potencialmente puede interferir con el proceso de handshake que verifica qué protocolo puede usar el servidor y forzarlo a utilizar SSL 3.0, incluso si se admite un protocolo más reciente. La vulnerabilidad fue divulgada por Google, quien dijo que un ataque exitoso podría permitir a un agresor realizar un ataque man-in-the-middle (MITM), que consiste en adquirir la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado, para descifrar las cookies HTTP seguras, lo que podría permitirles robar información o tomar control de las cuentas en línea del usuario. El ataque puede ser ejecutado tanto en el servidor como del lado del cliente. El tipo de ataque facilitado por esta vulnerabilidad es, en algunos aspectos, de naturaleza similar a la vulnerabilidad Heartbleed, que afectó a OpenSSL, una de las implementaciones más utilizadas de los protocolos de criptografía SSL y TLS. También proporciona una vía para que los atacantes extraigan datos de conexiones supuestamente seguras. Una diferencia de esta vulnerabilidad y Heartbleed es que en este caso, el atacante requiere tener acceso a la red entre el cliente y el servidor para interferir con el proceso de handshake. Una vía potencial de ataque podría, por lo tanto, ser a través de un punto de acceso Wi-Fi público. Sin embargo, debido a que el atacante debe tener acceso a la red, este problema no es tan grave como Heartbleed. Desactivar el soporte SSL 3.0 o el sistema de cifrado CBC con SSL 3.0, es suficiente para mitigar este problema, pero podría ocasionar dificultades de compatibilidad. Debido a esto, la recomendación de Google es cargar TLS_FALLBACK_SCSV. Este es un mecanismo que resuelve los problemas causados??por reintentos de conexiones fallidas y por lo tanto previene que los atacantes usen SSL 3.0 en los navegadores. Ver mas información al respecto en Fuente: http://diarioti.com/detectan-poodle-vulnerabilidad-en-antigua-version-de-ssl/83873 saludos ms, 22-10-2014 |
 RSS Noticias RSS Articulos RSS Descargas>> Compartircomparte con tus amigos, zonavirus.com
|