Registrarse
Índice
Portal
Conectarse
Últimas imágenes
Buscar
FAQ
Facebook
duende
Cantidad de envíos : 40
Tú firma Personal :
Barra de Respeto :
Reputación : 9
Fecha de inscripción : 01/04/2008
SSL 3.0 vulnerabilidad descubierta
15/10/2014, 2:40 pm
SSL 3.0 vulnerabilidad descubierta.
POODLE
Encontrar la manera de protegerse a sí mismo
Una vulnerabilidad de seguridad en SSL 3.0
ha sido descubierto por Bodo Möller
y otros dos empleados de Google
que los atacantes pueden explotar para calcular el texto en claro
de conexiones seguras.
SSL 3.0 es un protocolo antigüo y
la mayoría de los servidores de Internet
utilizan los nuevos protocolos TLS 1.0, TLS 1.1 o TLS 1.2
Cliente y servidor por lo general están de acuerdo en utilizar
la última versión del protocolo durante las conexiones
durante el handshake protocolo pero desde TLS
es compatible con SSL 3.0,
puede suceder que SSL 3.0 se está utilizando en su lugar.
Durante el primer intento de handshake
la versión más alta de protocolos compatibles se ofrece
pero si esto falla, el handshake va las anteriores versiones de protocolo
que se ofrecen en su lugar.
Un atacante el control de la red entre el cliente
y el servidor podría interferir con el intento de handshake
de manera que SSL 3.0 se utiliza en lugar de TLS.
Los detalles sobre el ataque están disponibles
en el aviso de seguridad “This POODLE Bites: Exploiting The SSL 3.0 Fallback”
cual se puede descargar con un clic en este enlace. http://ift.tt/1wCaHY5
Protección contra el ataque
Desde SSL 3.0 está siendo utilizado por el atacante,
deshabilitar SSL 3.0 bloqueará el ataque por completo.
Hay un problema, sin embargo:
si el soporte de servidor o cliente sólo utiliza SSL 3.0 y no TLS,
entonces ya no es posible establecer una conexión.
Puede ejecutar pruebas de SSL en los nombres de dominio
para saber qué versiones de SSL y TLS que apoyan.
ssl-test - http://ift.tt/VQjgNS
Para proteger su navegador web haga lo siguiente:
Chrome: Google Chrome y navegadores basados en Chromium
no incluya una preferencia que puede cambiar
para editar las versiones mínimas y máximas de protocolo
que desea usar en el navegador.
Usted puede iniciar el navegador con el parámetro
-ssl-Version-min = TLS1
para hacer cumplir el uso de TLS1
o protocolos superiores solamente.
Firefox:
Abra la página about: config y confirmar
que va a tener cuidado si esta es la primera vez que lo abre.
Busca security.tls.version.min,
haga doble clic en él y establezca su valor en 1.
Esto hace TLS 1.0
el mínimo requerido versión del protocolo.
Internet Explorer:
Abra las Opciones de Internet con un clic en el botón de menú
y la selección de Opciones de Internet en el menú.
Switch to Advanced allí y desplazarse hacia abajo
hasta que encuentre Usar SSL 2.0
y Usar SSL 3.0 enumerada allí (cerca de la parte inferior).
Desactive las dos opciones y haga clic en Aceptar para aplicar el cambio.
Mozilla eliminará SSL 3.0 en Firefox 34,
la próxima versión estable del navegador web
que verá la luz en seis semanas.
Google planea eliminar SSL 3.0 apoyo en Chrome
así en los próximos meses.
El post SSL 3.0 vulnerabilidad descubierta.
Encontrar la manera de protegerse a sí mismo apareció por primera vez en ghacks
http://ift.tt/1xS8DMR
Noticias de Tecnología.
http://www.ghacks.net/
Fuente: http://ift.tt/1xS8DMR
__________________
POODLE
Encontrar la manera de protegerse a sí mismo
Una vulnerabilidad de seguridad en SSL 3.0
ha sido descubierto por Bodo Möller
y otros dos empleados de Google
que los atacantes pueden explotar para calcular el texto en claro
de conexiones seguras.
SSL 3.0 es un protocolo antigüo y
la mayoría de los servidores de Internet
utilizan los nuevos protocolos TLS 1.0, TLS 1.1 o TLS 1.2
Cliente y servidor por lo general están de acuerdo en utilizar
la última versión del protocolo durante las conexiones
durante el handshake protocolo pero desde TLS
es compatible con SSL 3.0,
puede suceder que SSL 3.0 se está utilizando en su lugar.
Durante el primer intento de handshake
la versión más alta de protocolos compatibles se ofrece
pero si esto falla, el handshake va las anteriores versiones de protocolo
que se ofrecen en su lugar.
Un atacante el control de la red entre el cliente
y el servidor podría interferir con el intento de handshake
de manera que SSL 3.0 se utiliza en lugar de TLS.
Los detalles sobre el ataque están disponibles
en el aviso de seguridad “This POODLE Bites: Exploiting The SSL 3.0 Fallback”
cual se puede descargar con un clic en este enlace. http://ift.tt/1wCaHY5
Protección contra el ataque
Desde SSL 3.0 está siendo utilizado por el atacante,
deshabilitar SSL 3.0 bloqueará el ataque por completo.
Hay un problema, sin embargo:
si el soporte de servidor o cliente sólo utiliza SSL 3.0 y no TLS,
entonces ya no es posible establecer una conexión.
Puede ejecutar pruebas de SSL en los nombres de dominio
para saber qué versiones de SSL y TLS que apoyan.
ssl-test - http://ift.tt/VQjgNS
 | Haga click en la barra para ver la imagen completa. La imagen original es del tamaño de 819x268. |
Para proteger su navegador web haga lo siguiente:
Chrome: Google Chrome y navegadores basados en Chromium
no incluya una preferencia que puede cambiar
para editar las versiones mínimas y máximas de protocolo
que desea usar en el navegador.
Usted puede iniciar el navegador con el parámetro
-ssl-Version-min = TLS1
para hacer cumplir el uso de TLS1
o protocolos superiores solamente.
Firefox:
Abra la página about: config y confirmar
que va a tener cuidado si esta es la primera vez que lo abre.
Busca security.tls.version.min,
haga doble clic en él y establezca su valor en 1.
Esto hace TLS 1.0
el mínimo requerido versión del protocolo.
| Haga click en la barra para ver la imagen completa. La imagen original es del tamaño de 712x298. |
Internet Explorer:
Abra las Opciones de Internet con un clic en el botón de menú
y la selección de Opciones de Internet en el menú.
Switch to Advanced allí y desplazarse hacia abajo
hasta que encuentre Usar SSL 2.0
y Usar SSL 3.0 enumerada allí (cerca de la parte inferior).
Desactive las dos opciones y haga clic en Aceptar para aplicar el cambio.
Mozilla eliminará SSL 3.0 en Firefox 34,
la próxima versión estable del navegador web
que verá la luz en seis semanas.
Google planea eliminar SSL 3.0 apoyo en Chrome
así en los próximos meses.
El post SSL 3.0 vulnerabilidad descubierta.
Encontrar la manera de protegerse a sí mismo apareció por primera vez en ghacks
http://ift.tt/1xS8DMR
Noticias de Tecnología.
http://www.ghacks.net/
Fuente: http://ift.tt/1xS8DMR
__________________
Permisos de este foro:
No puedes responder a temas en este foro.