La vulnerabilidad CANICHE es una debilidad en la versión 3 del protocolo SSL que permite a un atacante en un contexto-man-in-the-middle de descifrar el contenido de texto sin formato de un mensaje cifrado SSLv3.
Mas información en: http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3566.html *¿Quién está afectado por esta vulnerabilidad? * Esta vulnerabilidad afecta a cada pieza de software que puede ser coaccionado para comunicarse con SSLv3. Esto significa que cualquier software que implementa un mecanismo de reserva que incluye soporte SSLv3 es vulnerable y puede ser explotado.Algunas piezas comunes de software que pueden ser afectados son los navegadores web, servidores web, servidores VPN, servidores de correo, etc- *¿Cómo funciona?* En resumen, la vulnerabilidad existe CANICHE porque el protocolo SSLv3 no comprueba adecuadamente los bytes de relleno que se envían con mensajes cifrados.Puesto que éstos no pueden ser verificados por la parte receptora, un atacante puede sustituir a estos y pasarlos al destino previsto. Cuando se hace de una manera específica, la carga útil modificada potencialmente será aceptado por el receptor sin queja. Un promedio de una vez de cada 256 solicitudes será aceptado en el destino, lo que permite al atacante descifrar un solo byte. Esto se puede repetir fácilmente con el fin de descifrar progresivamente bytes adicionales. Cualquier atacante capaz de forzar repetidamente un participante para volver a enviar los datos mediante este protocolo puede romper el cifrado en un lapso muy corto de tiempo. *¿Cómo puedo protegerme?* Deberían tomarse medidas para asegurarse de que usted no es vulnerable en sus papeles como un cliente y un servidor. Desde encriptación normalmente se negocia entre clientes y servidores, es un tema que involucra a ambas partes.Los servidores y los clientes deben deben tomar medidas para desactivar el soporte SSLv3 completamente. Muchas aplicaciones utilizan mejor encriptación por defecto, pero implementan soporte SSLv3 como una opción de reserva. Esto se debe desactivar, como un usuario malicioso puede forzar la comunicación SSLv3 si ambos participantes lo permiten como un método aceptable. *Cómo proteger aplicaciones comunes* A continuación, vamos a cubrir cómo deshabilitar SSLv3 en algunas aplicaciones de servidor comunes. Tenga cuidado al evaluar sus servidores para proteger a los servicios adicionales que pueden confiar en el cifrado SSL / TCP. Debido a la vulnerabilidad CANICHE no representa un problema de aplicación y es un problema inherente con todo el protocolo, no hay ninguna solución y la única solución fiable es no usarlo. Nginx servidor Web Para desactivar SSLv3 en el servidor web Nginx, puede utilizar el ssl_protocols Directiva. Esto se encuentra en los server o http bloques en su configuración. Por ejemplo, en Ubuntu, puede agregar esta a nivel mundial para /etc/nginx/nginx.conf interior del http bloque, o para cada server bloque en el /etc/nginx/sites-enabled directorio. sudo nano /etc/nginx/nginx.conf *Para desactivar SSLv3, su ssl_protocols directiva debe establecerse así:* ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Debe reiniciar el servidor después de haber hecho la modificación anterior: sudo service nginx restart *Apache Web Server* Para desactivar SSLv3 en el servidor web Apache, usted tendrá que ajustar el SSLProtocol directiva proporcionada por el mod_ssl módulo. Esta directiva se puede establecer en el nivel de servidor o en una configuración de host virtual. Dependiendo de la configuración de su distribución de Apache, la configuración SSL se puede situar en un archivo independiente que proviene. En Ubuntu, la especificación a nivel de servidor para los servidores se puede ajustar mediante la edición del /etc/apache2/mods-available/ssl.conf archivo. Si mod_ssl está habilitada, un enlace simbólico se conectará este archivo al mods-enabled subdirectorio: sudo nano /etc/apache2/mods-available/ssl.conf *En CentOS*, puede puede ajustar esto en el archivo de configuración SSL se encuentra aquí (si SSL está habilitado): sudo nano /etc/httpd/conf.d/ssl.conf En el interior se encuentra el SSLProtocol Directiva. Si esto no está disponible, lo crea. Modifique esto para eliminar explícitamente el apoyo a SSLv3: SSLProtocol all -SSLv3 -SSLv2 Guarde y cierre el archivo. Reinicie el servicio para permitir los cambios. En Ubuntu, puede escribir: sudo service apache2 restart En CentOS, esto sería: sudo service httpd restart *HAProxy equilibrador de carga* Para desactivar SSLv3 en un equilibrador de carga HAProxy, tendrá que abrir el haproxy.cfg archivo. Esta se encuentra en /etc/haproxy/haproxy.cfg : sudo nano /etc/haproxy/haproxy.cfg En la configuración de su extremo delantero, si ha habilitado SSL, tu bind Directiva especificará la dirección IP pública y el puerto. Si está utilizando SSL, tendrá que añadir no-sslv3 hasta el final de esta línea: frontend name bind public_ip :443 ssl crt /path/to/certs no-sslv3 Guarde y cierre el archivo. Tendrá que reiniciar el servicio para aplicar los cambios: sudo service haproxy restart *OpenVPN servidor VPN* Las versiones recientes de OpenVPN en realidad no permiten SSLv3. El servicio no es vulnerable a este problema específico, por lo que no tendrá que ajustar su configuración. Ver este post en los foros de OpenVPN para más información . Postfix SMTP del servidor https://forums.openvpn.net/topic17268.html Si la configuración de Postfix está configurado para requerir el cifrado, se utilizará una directiva llamada smtpd_tls_mandatory_protocols . Usted puede encontrar esto en el archivo principal de configuración de Postfix: sudo nano /etc/postfix/main.cf Para un servidor Postfix configurado para utilizar cifrado en todo momento, puede asegurarse de que SSLv3 y SSLv2 no son aceptadas por el establecimiento de este parámetro. Si no forzar el cifrado, usted no tiene que hacer nada: smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 Guarde la configuración. Reinicie el servicio para implementar los cambios: sudo service postfix restart *Dovecot IMAP y POP3 Servidor* Para desactivar SSLv3 en un servidor Dovecot, usted tendrá que ajustar directiva llamados ssl_protocols . Dependiendo de sus métodos de distribución de envasado, las configuraciones SSL se pueden mantener en un archivo de configuración alternativa. Para la mayoría de las distribuciones, puede ajustar esta directiva mediante la apertura de este archivo: sudo nano /etc/dovecot/conf.d/10-ssl.conf En el interior, establecer el ssl_protocols directiva para deshabilitar SSLv2 y SSLv3: ssl_protocols = !SSLv3 !SSLv2 Guarde y cierre el archivo. Reinicie el servicio con el fin de aplicar los cambios: sudo service dovecot restart *Medidas adicionales* Junto con las aplicaciones del lado del servidor, también debe actualizar las aplicaciones cliente. En particular, los navegadores web pueden ser vulnerables a este problema a causa de su negociación del protocolo de bajada. Asegúrese de que sus navegadores no permiten SSLv3 como un método de cifrado aceptable. Esto puede ser ajustable en la configuración o mediante la instalación de un plugin o extensión adicional. Conclusión Debido al amplio apoyo SSLv3, incluso cuando el cifrado fuerte está habilitada, esta vulnerabilidad es de gran alcance y peligroso. Usted tendrá que tomar medidas para protegerse a sí mismo tanto como un consumidor y el proveedor de los recursos que utilizan cifrado SSL. Asegúrese de revisar todos sus servicios de redes accesibles que pueden aprovechar SSL / TLS en cualquier forma. A menudo, estas aplicaciones requieren instrucciones explícitas para desactivar por completo las formas más débiles de cifrado como SSLv3. -- Cordialmente. Jhosman Lizarazo https://launchpad.net/~jhosman -- Al escribir recuerde observar la etiqueta (normas) de esta lista: http://goo.gl/Pu0ke Para cambiar su inscripción, vaya a "Cambio de opciones" en http://goo.gl/Nevnx
