Comparte
Ver el tema anteriorIr abajoVer el tema siguiente
avatar
duende
0 / 1000 / 100


Cantidad de envíos : 41
Tú firma Personal :
Barra de Respeto :
0 / 1000 / 100

Reputación : 9
Fecha de inscripción : 01/04/2008

default SSL 3.0 vulnerabilidad descubierta

el 15/10/2014, 2:40 pm
SSL 3.0 vulnerabilidad descubierta.


POODLE

Encontrar la manera de protegerse a sí mismo

Una vulnerabilidad de seguridad en SSL 3.0
ha sido descubierto por Bodo Möller
y otros dos empleados de Google
que los atacantes pueden explotar para calcular el texto en claro
de conexiones seguras.

SSL 3.0 es un protocolo antigüo y
la mayoría de los servidores de Internet
utilizan los nuevos protocolos TLS 1.0, TLS 1.1 o TLS 1.2
Cliente y servidor por lo general están de acuerdo en utilizar
la última versión del protocolo durante las conexiones
durante el handshake protocolo pero desde TLS
es compatible con SSL 3.0,
puede suceder que SSL 3.0 se está utilizando en su lugar.

Durante el primer intento de handshake
la versión más alta de protocolos compatibles se ofrece
pero si esto falla, el handshake va las anteriores versiones de protocolo
que se ofrecen en su lugar.

Un atacante el control de la red entre el cliente
y el servidor podría interferir con el intento de handshake
de manera que SSL 3.0 se utiliza en lugar de TLS.

Los detalles sobre el ataque están disponibles
en el aviso de seguridad “This POODLE Bites: Exploiting The SSL 3.0 Fallback”
cual se puede descargar con un clic en este enlace. http://ift.tt/1wCaHY5

Protección contra el ataque

Desde SSL 3.0 está siendo utilizado por el atacante,
deshabilitar SSL 3.0 bloqueará el ataque por completo.
Hay un problema, sin embargo:
si el soporte de servidor o cliente sólo utiliza SSL 3.0 y no TLS,
entonces ya no es posible establecer una conexión.

Puede ejecutar pruebas de SSL en los nombres de dominio
para saber qué versiones de SSL y TLS que apoyan.

ssl-test - http://ift.tt/VQjgNS

Haga click en la barra para ver la imagen completa. La imagen original es del tamaño de 819x268.


Para proteger su navegador web haga lo siguiente:

Chrome: Google Chrome y navegadores basados ​​en Chromium
no incluya una preferencia que puede cambiar
para editar las versiones mínimas y máximas de protocolo
que desea usar en el navegador.
Usted puede iniciar el navegador con el parámetro
-ssl-Version-min = TLS1
para hacer cumplir el uso de TLS1
o protocolos superiores solamente.




Firefox:
Abra la página about: config y confirmar
que va a tener cuidado si esta es la primera vez que lo abre.
Busca security.tls.version.min,
haga doble clic en él y establezca su valor en 1.
Esto hace TLS 1.0
el mínimo requerido versión del protocolo.

Haga click en la barra para ver la imagen completa. La imagen original es del tamaño de 712x298.


Internet Explorer:
Abra las Opciones de Internet con un clic en el botón de menú
y la selección de Opciones de Internet en el menú.
Switch to Advanced allí y desplazarse hacia abajo
hasta que encuentre Usar SSL 2.0
y Usar SSL 3.0 enumerada allí (cerca de la parte inferior).
Desactive las dos opciones y haga clic en Aceptar para aplicar el cambio.



Mozilla eliminará SSL 3.0 en Firefox 34,
la próxima versión estable del navegador web
que verá la luz en seis semanas.
Google planea eliminar SSL 3.0 apoyo en Chrome
así en los próximos meses.

El post SSL 3.0 vulnerabilidad descubierta.
Encontrar la manera de protegerse a sí mismo apareció por primera vez en ghacks
http://ift.tt/1xS8DMR

Noticias de Tecnología.
http://www.ghacks.net/

Fuente: http://ift.tt/1xS8DMR
__________________
Ver el tema anteriorVolver arribaVer el tema siguiente
Permisos de este foro:
No puedes responder a temas en este foro.