Descripción:
DROWN es una vulnerabilidad grave que afecta el protocolo HTTPS y otros servicios que se basan en SSL y TLS. Esta vulnerabilidad permite que los atacantes descubran la clave del cifrado y lean o roben comunicaciones confidenciales.
¿Qué es vulnerable?
Un servidor es vulnerable a DROWN en estos casos:
- Permite conexiones SSL v. 2.
- Su clave privada se usa en otro servidor que permite conexiones SSL v. 2, incluso para otro protocolo.
Se han descubierto otras vulnerabilidades graves de OpenSSL, las que se explican aquí:
https://www.openssl.org/news/secadv/20160301.txt
Sistema operativo específico:
Asegúrese de comprobar si se lanzó una versión revisada de OpenSSL para la versión de su sistema operativo antes de actualizarla:
Red Hat y CentOS
https://access.redhat.com/security/vulnerabilities/drown
Debian
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500
Ubuntu:
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
Sin bien Ubuntu no se ve afectado por CVE-2016-0800, sí es vulnerable a CVE-2016-0702, CVE-2016-0705, CVE-2016-0797, CVE-2016-0798, CVE-2016-0799, por lo que el paquete de OpenSSL se debe actualizar:
http://www.ubuntu.com/usn/usn-2914-1/
Windows Server con Microsoft IIS
Las versiones 7.0 y posteriores de IIS deben tener SSL v. 2 deshabilitado de manera predeterminada. Microsoft ya no ofrece soporte técnico a las versiones anteriores, así que se las debe actualizar a versiones que sí lo reciban.
Solución:
En CentOS y Red Hat Enterprise Linux
Ejecute:
yum clean all
yum update openssl
reboot
En Ubuntu y Debian
Ejecute:
sudo apt-get update
sudo apt-get install openssl
reboot
Recomendamos que suscriba el sistema de notificación de OS a las siguientes direcciones URL:
Red Hat: RHSA-announce (http://www.redhat.com/mailman/listinfo/rhsa-announce)
CentOS: CentOS-announce (https://lists.centos.org/mailman/listinfo/centos-announce)
Ubuntu: ubuntu-security-announce (https://lists.ubuntu.com/mailman/listinfo/ubuntu-security-announce)
Debian: debian-security-announce (https://lists.debian.org/debian-security-announce/)
Referencias:
https://drownattack.com/
https://www.openssl.org/news/secadv/20160301.txt
https://access.redhat.com/security/vulnerabilities/drown
https://access.redhat.com/labs/drown/
https://security-tracker.debian.org/tracker/CVE-2016-0800
https://www.debian.org/security/2016/dsa-3500
http://people.canonical.com/~ubuntu-security/cve/2016/CVE-2016-0800.html
http://www.ubuntu.com/usn/usn-2914-1/
0 Comentarios