Historias
Slashboxes
Comentarios
Búsqueda

Descubierta grave vulnerabilidad en SSL/TLS

editada por rvr el Viernes, 06 Noviembre de 2009, 10:00h   Printer-friendly   Email story
Seguridad
calamar nos cuenta: «Leo en Slashdot una noticia que se está extendiendo como la pólvora: se trata de una vulnerabilidad bastante seria en SSL. Resumidamente, se trata de un clásico man-in-the-middle que podría explotar la renegociación de SSL para inyectar un prefijo arbitrario en cualquier sesión SSL, lo que pasaría inadvertido a ambos lados de la conexión. Se han demostrado ataques prácticos contra la autenticación por certificados en el cliente contra versiones recientes de los servidores Apache y Microsoft IIS en varias plataformas y clientes. También se han demostrado casos que no necesitan de certificados en el cliente. La investigación continua y se espera que surjan ataques generalizados contra otros protocolos basados en TLS. De momento existe un parche para la versión de desarrollo de openssl, que deshabilita toda renegociación».

«  Google permitirá borrar el rastro de búsqueda del usuario | RedHat se mete de lleno en virtualización  »

Descubierta grave vulnerabilidad en SSL/TLS | Log in/Crear cuenta | Top | 18 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • No se yo...

    (Puntos:3, Informativo)
    por pobrecito hablador el Viernes, 06 Noviembre de 2009, 12:17h (#1183481)
    No tengo tiempo para leerme el paper así que a lo mejor me equivoco pero de entrada pienso que, si no ha salido nada en bugtraq, ni en cryptography@metzdowd.com, ni en el daily-dave, ni en ninguna otra lista de correo importante sobre seguridad, estamos ante una cosa sin demasiada importancia de alguien que quiere sus 15 minutos de fama.

    Como se puede ver aqui [ietf.org], la cosa no es tan grave. Siento que la realidad estropee el titular, pero hay que mirar estas cosas bien antes de ponerse a publicar noticias en barrapunto, y darle la importancia que tiene (ni más ni menos).

    [ Responder ]
    • Re:No se yo... de MaGaO (Puntos:1) Viernes, 06 Noviembre de 2009, 12:33h
      • Re:No se yo... de MaGaO (Puntos:1) Viernes, 06 Noviembre de 2009, 19:02h
        • Re:No se yo... de MaGaO (Puntos:2) Domingo, 08 Noviembre de 2009, 16:55h
        • 1 respuesta por debajo de tu umbral de lectura actual.
      • 2 respuestas por debajo de tu umbral de lectura actual.

  • SSL

    (Puntos:1)
    por lifeguarda (16541) el Viernes, 06 Noviembre de 2009, 12:47h (#1183486)
    ( Última bitácora: Jueves, 05 Noviembre de 2009, 13:30h )
    Aprovechando la noticia, ¿alguna web o documento que explique claramente como funcionan este tipo de tecnologías (SSL/TSL y VPN ?
    Estaría muuy agradecido. Lo que he encontrado por google no me deja muy claro el funcionamiento.
    --
    "Pensar es fácil. Actuar es difícil. Actuar como se piensa es lo más difícil de todo" Goethe.
    [ Responder ]
    • Re:SSL de calamar (Puntos:1) Viernes, 06 Noviembre de 2009, 13:02h
      • Re:SSL de lifeguarda (Puntos:1) Viernes, 06 Noviembre de 2009, 13:07h
        • Re:SSL de Grohl (Puntos:2) Sábado, 07 Noviembre de 2009, 08:34h

  • A cualquier cosa la llaman parche

    (Puntos:2)
    por CitoJam (9245) <abrahamNO@SPAMalumni.uv.es> el Viernes, 06 Noviembre de 2009, 15:20h (#1183500)
    ( http://www.gatogordo.es/ | Última bitácora: Sábado, 29 Mayo de 2004, 03:47h )
    Tate, tradicionalmente los parches eran trozos de plástico, goma o tela que ponías sobre algún tipo de cámara de aire (léase neumático de bicicleta o balón, por ejemplo) para tapar un agujero; de ahí pasamos a una pequeña corrección que permitía continuar utilizando el elemento o servicio.

    Lo que han presentado no es un parche, no arregla nada, simplemente es una anulación y vuelta atrás. Que está claro que anular el servicio es mejor que utilizarlo con riesgos, y más cuando se trata de un módulo de seguridad, pero me llama la atención cómo ha evolucionado el significado de la palabra.

    --
    El Gato Gordo [gatogordo.es]
    [ Responder ]

  • openssl

    (Puntos:2, Informativo)
    por topillo.nick (35169) el Jueves, 12 Noviembre de 2009, 11:55h (#1184421)
    No se tratará de una vulnerabilidad tan leve y tan fácil de corregir, cuando lo primero que han hecho los chicos de http://www.openssl.org/ [openssl.org] es publicar una iteración de OpenSSL 0.9.8 con un único cambio:

    Major changes between OpenSSL 0.9.8k and OpenSSL 0.9.8l:

    o Ban renegotiation.
    Deshabilitar la renegociación, nada más y nada menos....
    [ Responder ]
  • 2 respuestas por debajo de tu umbral de lectura actual.