Vulnerabilidad de Seguridad en OpenSSL (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, CVE-2014-3470)

Fuente: https://www.openssl.org/news/secadv_20140605.txt

Descripción

Un atacante con un protocolo de enlace elaborado cuidadosamente puede forzar el uso de elementos débiles de generación de claves en clientes y servidores OpenSSL SSL/TLS. Esto puede ser aprovechado por un ataque por intermediario (MITM, man-in-the-middle), en donde el atacante puede descifrar y modificar el tráfico desde el cliente y el servidor atacado.

El ataque solo puede llevarse a cabo entre un cliente Y un servidor vulnerables.

¿Qué versiones de OpenSSL están afectadas?

  • Los clientes de OpenSSL son vulnerables en TODAS las versiones de OpenSSL.   
  • Se sabe que los servidores solo son vulnerables en versiones OpenSSL 1.0.1 y 1.0.2-beta1.

Cómo solucionarlo:

A los usuarios de servidores con OpenSSL anterior a 1.0.1 se les recomienda realizar la actualización como medida de precaución.

  • Los usuarios de OpenSSL 0.9.8 SSL/TLS (cliente y/o servidor) deberían actualizar a 0.9.8za.
  • Los usuarios de OpenSSL 1.0.0 SSL/TLS (cliente y/o servidor) deberían actualizar a 1.0.0m.
  • Los usuarios de OpenSSL 1.0.1 SSL/TLS (cliente y/o servidor) deberían actualizar a 1.0.1h.

Puede utilizar este artículo como referencia para comprobar la versión de su OpenSSL y realizar la actualización.

Otros recursos:

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk