Vulnerabilidade SSL/TLS - Anunciada actualização de segurança para OpenSSL PDF Imprimir
Categoria: Alertas
segunda, 09 novembro 2009 10:00

Foi disponibilizada uma actualização para o OpenSSL que permite mitigar uma vulnerabilidade recentemente divulgada nos protocolos SSL/TLS.


Sistemas Operativos Implicados: Vários
Aplicações Implicadas: SSL/TLS, OpenSSL

I. Descrição

Foi recentemente divulgada uma vulnerabilidade nos protocolos SSL/TLS. Esta vulnerabilidade, que é explorada através do mecanismo de renegociação do SSL/TLS, permite a um atacante remoto e não autenticado o acesso ilegítimo aos dados cifrados através de uma técnica conhecida como "Man in the middle" (homem no meio), que na prática consiste na intercepção do tráfego entre um cliente e um servidor, sendo possível ao atacante o visionamento dos dados trocados através da rede.

Existem relatos de que esta vulnerabilidade já foi explorada com sucesso na autênticação de clientes baseada em certificados no HTTPS (Apache e Microsoft IIS), sendo possível que surjam novos vectores de ataque num futuro próximo .

II. Solução

O OpenSSL disponibilizou uma actualização de segurança que permite mitigar esta vulnerabilidade. Esta actualização de segurança não resolve a vulnerabilidade no protocolo, apenas desactiva o mecanismo de renegociação do SSL/TLS pelo que deve ser aplicada com cuidado uma vez que existe a probabilidade de perda de funcionalidades nos serviços existentes. Caso seja necessária a existência do mecanismo de renegociação do SSL/TLS esta actualização de segurança não deve ser aplicada, ou deve ser exaustivamente testada antes de ser aplicada. Esta actualização de segurança está disponível em http://www.openssl.org/source/.

Para outras implementações do SSL/TLS recomenda-se, sempre que possível, a desactivação do mecanismo de renegociação, que permite mitigar a vulnerabilidade agora anunciada.

III. Referências

Renegotiating TLS
http://extendedsubset.com/?p=8

[IETF] TLS renegotiation issue
http://www.ietf.org/mail-archive/web/tls/current/msg03948.html

TLS Man-in-the-middle on renegotiation vulnerability made public
http://isc.sans.org/diary.html?storyid=7534

OpenSSL - OpenSSL 0.9.8l is now available, including important big fixes
http://www.openssl.org/source/

 

Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN
Participe Incidente

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email:

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

Filiação

FIRST
Acreditação Internacional
Membro da Rede Nacional CSIRTs

Feeds RSS

Alertas

Recomendações

Notícias