Vulnerabilidades graves de OpenSSL: DROWN CVE-2016-0800

Descripción:

DROWN es una vulnerabilidad grave que afecta el protocolo HTTPS y otros servicios que se basan en SSL y TLS. Esta vulnerabilidad permite que los atacantes descubran la clave del cifrado y lean o roben comunicaciones confidenciales.

¿Qué es vulnerable?

Un servidor es vulnerable a DROWN en estos casos:

  • Permite conexiones SSL v. 2.
  • Su clave privada se usa en otro servidor que permite conexiones SSL v. 2, incluso para otro protocolo.


Se han descubierto otras vulnerabilidades graves de OpenSSL, las que se explican aquí:

https://www.openssl.org/news/secadv/20160301.txt

Sistema operativo específico:

Asegúrese de comprobar si se lanzó una versión revisada de OpenSSL para la versión de su sistema operativo antes de actualizarla:

Red Hat y CentOS
https://access.redhat.com/security/vulnerabilities/drown

Debian
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500

Ubuntu:
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
Sin bien Ubuntu no se ve afectado por CVE-2016-0800, sí es vulnerable a CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799, por lo que el paquete de OpenSSL se debe actualizar:
http://www.ubuntu.com/usn/usn-2914-1/

Windows Server con Microsoft IIS
Las versiones 7.0 y posteriores de IIS deben tener SSL v. 2 deshabilitado de manera predeterminada. Microsoft ya no ofrece soporte técnico a las versiones anteriores, así que se las debe actualizar a versiones que sí lo reciban.

Solución:

En CentOS y Red Hat Enterprise Linux 

Ejecute:

yum clean all

yum update openssl

reboot


En Ubuntu y Debian

Ejecute:

sudo apt-get update

sudo apt-get install openssl

reboot  

Recomendamos que suscriba el sistema de notificación de OS a las siguientes direcciones URL:

Red Hat: RHSA-announce (http://www.redhat.com/mailman/listinfo/rhsa-announce)
CentOS: CentOS-announce (https://lists.centos.org/mailman/listinfo/centos-announce)
Ubuntu: ubuntu-security-announce (https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce)
Debian: debian-security-announce (https://lists.debian.org/debian-security-announce/)

Referencias:

https://drownattack.com/
https://www.openssl.org/news/secadv/20160301.txt
https://access.redhat.com/security/vulnerabilities/drown
https://access.redhat.com/labs/drown/
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
http://www.ubuntu.com/usn/usn-2914-1/

¿Tiene más preguntas? Enviar una solicitud

0 Comentarios

El artículo está cerrado para comentarios.
Tecnología de Zendesk