Fuente: https://www.openssl.org/news/secadv_20140605.txt
Descripción
Un atacante con un protocolo de enlace elaborado cuidadosamente puede forzar el uso de elementos débiles de generación de claves en clientes y servidores OpenSSL SSL/TLS. Esto puede ser aprovechado por un ataque por intermediario (MITM, man-in-the-middle), en donde el atacante puede descifrar y modificar el tráfico desde el cliente y el servidor atacado.
El ataque solo puede llevarse a cabo entre un cliente Y un servidor vulnerables.
¿Qué versiones de OpenSSL están afectadas?
- Los clientes de OpenSSL son vulnerables en TODAS las versiones de OpenSSL.
- Se sabe que los servidores solo son vulnerables en versiones OpenSSL 1.0.1 y 1.0.2-beta1.
Cómo solucionarlo:
A los usuarios de servidores con OpenSSL anterior a 1.0.1 se les recomienda realizar la actualización como medida de precaución.
- Los usuarios de OpenSSL 0.9.8 SSL/TLS (cliente y/o servidor) deberían actualizar a 0.9.8za.
- Los usuarios de OpenSSL 1.0.0 SSL/TLS (cliente y/o servidor) deberían actualizar a 1.0.0m.
- Los usuarios de OpenSSL 1.0.1 SSL/TLS (cliente y/o servidor) deberían actualizar a 1.0.1h.
Puede utilizar este artículo como referencia para comprobar la versión de su OpenSSL y realizar la actualización.
- Debian: https://security-tracker.debian.org/tracker/CVE-2014-0224
- Ubuntu: http://www.ubuntu.com/usn/usn-2232-1/
- cPanel: http://forums.cpanel.net/f185/openssl-vulnerability-cve-2014-0224-a-411551.html
- Plesk: http://kb.parallels.com/en/121916
- Redhat:
https://rhn.redhat.com/errata/RHSA-2014-0625.html
https://access.redhat.com/site/articles/904433 - CentOS: https://www.centos.org/forums/viewtopic.php?f=11&t=46561
- VMWare: http://kb.vmware.com/selfservice/microsites/search.do?cmd=displayKC&docType=kc&externalId=2079783&sliceId=1&docTypeID=DT_KB_1_1&dialogID=282054392&stateId=1%200%20282062537
Otros recursos:
- https://www.openssl.org/news/secadv_20140605.txt
- http://www.securityfocus.com/bid/67899
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0224
- http://www.symantec.com/connect/blogs/openssl-patches-critical-vulnerabilities-two-months-after-heartbleed
- http://arstechnica.com/security/2014/06/still-reeling-from-heartbleed-openssl-suffers-from-crypto-bypass-flaw/
- https://securityblog.redhat.com/2014/06/05/openssl-mitm-ccs-injection-attack-cve-2014-0224/
- http://ccsinjection.lepidum.co.jp/blog/2014-06-05/CCS-Injection-en/index.html
- http://www.kb.cert.org/vuls/id/978508
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
- https://access.redhat.com/site/blogs/766093/posts/908133
0 Comentarios