int(220)

Boletines de Vulnerabilidades


Posible compromiso de contraseñas en OpenSSL

Clasificación de la vulnerabilidad

Propiedad Valor
Nivel de Confianza Oficial
Impacto Confidencialidad
Dificultad Avanzado
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema

Propiedad Valor
Fabricante afectado GNU/Linux
Software afectado OpenSSL < 0.9.6i

Descripción

Se ha anunciado una vulnerabilidad en OpenSSL por la cual un atacante podría llegar a obtener una contraseña observando la respuesta del servidor a cierto tipo de tráfico.

Múltiples conexiones SSL o TLS implican un bloque fijo común de texto en claro, tal como una contraseña. Un atacante puede sustituir bloques de texto cifrado diseñados por el mismo por bloques enviados por las partes legítimas de la conexión SSL/TLS y medir el tiempo hasta que llega una respuesta.

SSL/TLS incluye la autenticación de los datos para asegurarse de que tales bloques modificados de texto cifrado serán rechazados por un de las partes (y la conexión abortada), pero el atacante puede utilizar observaciones de la sincronización para distinguir entre dos casos de error distintos: errores de padding en el cifrado de bloque y errores de verificación de MAC. Esto es suficiente para diseñar un ataque con el que se pueda obtener el bloque completo de texto en claro.

Solución



Actualización de software
Descargue e instale las versiones 0.9.6i ó 0.9.7 desde la web del fabricante
http://www.openssl.org/source/

Identificadores estándar

Propiedad Valor
CVE CAN-2003-0078
BID

Recursos adicionales

OpenSSL security advisory
http://www.openssl.org/news/secadv_20030219.txt

HP SECURITY BULLETIN HPSBUX0303-248
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0303-248

Histórico de versiones

Versión Comentario Fecha
1.0 Aviso emitido 2003-02-20

Miembros de

Ministerio de Defensa
CNI
CCN
CCN-CERT