Historias
Slashboxes
Comentarios
 

Descubierta grave vulnerabilidad en SSL/TLS

editada por rvr el 06 de Noviembre 2009, 10:00h   Printer-friendly   Email story
calamar nos cuenta: «Leo en Slashdot una noticia que se está extendiendo como la pólvora: se trata de una vulnerabilidad bastante seria en SSL. Resumidamente, se trata de un clásico man-in-the-middle que podría explotar la renegociación de SSL para inyectar un prefijo arbitrario en cualquier sesión SSL, lo que pasaría inadvertido a ambos lados de la conexión. Se han demostrado ataques prácticos contra la autenticación por certificados en el cliente contra versiones recientes de los servidores Apache y Microsoft IIS en varias plataformas y clientes. También se han demostrado casos que no necesitan de certificados en el cliente. La investigación continua y se espera que surjan ataques generalizados contra otros protocolos basados en TLS. De momento existe un parche para la versión de desarrollo de openssl, que deshabilita toda renegociación».

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • No se yo...

    (Puntos:3, Informativo)
    por pobrecito hablador el Viernes, 06 Noviembre de 2009, 12:17h (#1183481)
    No tengo tiempo para leerme el paper así que a lo mejor me equivoco pero de entrada pienso que, si no ha salido nada en bugtraq, ni en cryptography@metzdowd.com, ni en el daily-dave, ni en ninguna otra lista de correo importante sobre seguridad, estamos ante una cosa sin demasiada importancia de alguien que quiere sus 15 minutos de fama.

    Como se puede ver aqui [ietf.org], la cosa no es tan grave. Siento que la realidad estropee el titular, pero hay que mirar estas cosas bien antes de ponerse a publicar noticias en barrapunto, y darle la importancia que tiene (ni más ni menos).

    • Re:No se yo... de MaGaO (Puntos:1) Viernes, 06 Noviembre de 2009, 12:33h
      • Re:No se yo... de MaGaO (Puntos:1) Viernes, 06 Noviembre de 2009, 19:02h
        • Re:No se yo... de MaGaO (Puntos:2) Domingo, 08 Noviembre de 2009, 16:55h
        • 1 respuesta por debajo de tu umbral de lectura actual.
      • 2 respuestas por debajo de tu umbral de lectura actual.
  • SSL

    (Puntos:1)
    por lifeguarda (16541) el Viernes, 06 Noviembre de 2009, 12:47h (#1183486)
    ( Última bitácora: Viernes, 07 Mayo de 2010, 11:24h )
    Aprovechando la noticia, ¿alguna web o documento que explique claramente como funcionan este tipo de tecnologías (SSL/TSL y VPN ?
    Estaría muuy agradecido. Lo que he encontrado por google no me deja muy claro el funcionamiento.
    --
    "Pensar es fácil. Actuar es difícil. Actuar como se piensa es lo más difícil de todo" Goethe.
    • Re:SSL de calamar (Puntos:1) Viernes, 06 Noviembre de 2009, 13:02h
      • Re:SSL de lifeguarda (Puntos:1) Viernes, 06 Noviembre de 2009, 13:07h
        • Re:SSL de Grohl (Puntos:2) Sábado, 07 Noviembre de 2009, 08:34h
  • por CitoJam (9245) <{jam} {at} {gatogordo.es}> el Viernes, 06 Noviembre de 2009, 15:20h (#1183500)
    ( http://www.gatogordo.es/ | Última bitácora: Sábado, 29 Mayo de 2004, 03:47h )
    Tate, tradicionalmente los parches eran trozos de plástico, goma o tela que ponías sobre algún tipo de cámara de aire (léase neumático de bicicleta o balón, por ejemplo) para tapar un agujero; de ahí pasamos a una pequeña corrección que permitía continuar utilizando el elemento o servicio.

    Lo que han presentado no es un parche, no arregla nada, simplemente es una anulación y vuelta atrás. Que está claro que anular el servicio es mejor que utilizarlo con riesgos, y más cuando se trata de un módulo de seguridad, pero me llama la atención cómo ha evolucionado el significado de la palabra.

    --
    El Gato Gordo [gatogordo.es]
  • openssl

    (Puntos:2, Informativo)
    por topillo.nick (35169) el Jueves, 12 Noviembre de 2009, 11:55h (#1184421)
    No se tratará de una vulnerabilidad tan leve y tan fácil de corregir, cuando lo primero que han hecho los chicos de http://www.openssl.org/ [openssl.org] es publicar una iteración de OpenSSL 0.9.8 con un único cambio:

    Major changes between OpenSSL 0.9.8k and OpenSSL 0.9.8l:

    o Ban renegotiation.

    Deshabilitar la renegociación, nada más y nada menos....
  • 2 respuestas por debajo de tu umbral de lectura actual.