CVE-2016-2107: Padding oracle en la comprobación MAC AES-NI CBC

Created:

2016-11-16 13:19:38 UTC

Modified:

2017-08-17 04:14:30 UTC

5

Was this article helpful?


Have more questions?

Enviar una solicitud

CVE-2016-2107: Padding oracle en la comprobación MAC AES-NI CBC

Applicable to:

  • Plesk 12.5 for Linux
  • Plesk 11.x for Linux
  • Plesk 12.0 for Linux

Información

OpenSSL project ha confirmado una actualización de seguridad que, entre otros problemas, contiene la resolución de las vulnerabilidades CVE-2016-2107, CVE-2016-2108 y CVE-2016-2109.

Se ha detectado que OpenSSL revelaba información al descifrar los registros cifrados de los protocolos TLS/SSL y DTLS cuando la conexión usaba la suite de cifrado AES CBC y el servidor soportaba AES-NI. De este modo, un atacante remoto podía usar este flujo para recuperar texto sin formato desde paquetes cifrados a través del uso de un servidor TLS/SSL o DTLS como padding oracle.

Esta incidencia afectaba a las versiones de OpenSSL anteriores al abril del 2015. El fallo que ocasionaba esta vulnerabilidad fue corregido el 18 de abril del 2015 mediante las versiones de seguridad publicadas el 11 de junio del 2015. El impacto de seguridad de este fallo se desconocía en ese momento. En versiones anteriores de OpenSSL, el hecho de que ASN.1 cifrara el valor cero representado como un entero negativo podía ocasionar un underflow del buffer con out-of-bounds escritos en i2c_ASN1_INTEGER.

Cuando los datos de ASN.1 se leen mediante una BIO usando funciones como d2i_CMS_bio(), un breve cifrado no válido puede ocasionar la asignación de una gran cantidad de recursos que potencialmente consuman mucha memoria o bien quedarse sin memoria.

Resolución

  • Corrección para Plesk 12.5 en RedHat 5 y CentOS 5: actualización Plesk 12.5.30 MU#37 .
  • En el caso de Plesk 12.0 en RedHat 5 y CentOS 5, la corrección se incluirá en la próxima actualización.
  • En el caso de Plesk 11.0-11.5 en RedHat 5 y CentOS 5, aún no se ha decidido la fecha de la versión de actualización.

En el caso de todas las demás distribuciones de Linux, a excepción de RedHat/CentOS 5 , Plesk utiliza la librería del sistema de OpenSSL. Si tiene instalado Plesk 11.x-12.5 en un servidor RedHat/CentOS 6 o Debian/Ubuntu, debería aplicar las actualizaciones publicadas por el proveedor del SO y reiniciar los servicios:

RedHat/CentOS:

# yum update openssl
# service nginx restart
# service httpd restart

Debian/Ubuntu:

# apt-get upgrade openssl
# /etc/init.d/nginx restart
# /etc/init.d/apache2 restart

La seguridad de nuestros clientes es extremadamente importante para nosotros y por este motivo le instamos a aplicar las actualizaciones lo antes posible.

Para comprobar si el sitio web es vulnerable, puede utilizar la herramienta online de SSLlabs

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.