CVE-2016-0800: Vulnerabilidad en SSL v2

Created:

2016-11-16 13:00:46 UTC

Modified:

2017-08-16 15:56:47 UTC

0

Was this article helpful?


Have more questions?

Enviar una solicitud

CVE-2016-0800: Vulnerabilidad en SSL v2

Applicable to:

  • Plesk for Linux
  • Plesk 12.5 for Windows

El grupo OpenSSL ha emitido una alerta de vulnerabilidad con fecha del 1 de marzo del 2016. Puede obtener más información al respecto en el sitio web de Open SSL .

Esta vulnerabilidad es conocida como DROWN (CVE-2016-0800).

Impacto

Se ha detectado un ataque entre protocolos que permite a los atacantes descubrir las claves de cifrado de las sesiones TLS mediante el uso de un servidor que soporte SSL v2 y la suite de cifrado EXPORT como Bleichenbacher RSA padding oracle. Tenga en cuenta que el tráfico entre clientes y servidores no vulnerables puede ser descifrado si otro servidor que soporta SSL v2 y ciphers EXPORT (incluso con otro protocolo como puede ser el caso de SMTP, IMAP o POP) comparte las claves RSA del servidor no vulnerable.

Existe una variante más eficiente de DROWN que afecta a servidores OpenSSL donde no se ha aplicado el parche que utilicen versiones previas a 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.

Desde Plesk 12.5, todos los servicios gestionados por Plesk a excepción de qmail y del autoinstaller están configuradas para no utilizar SSL v2 (y SSL v3) de forma predeterminada.

Factores de mitigación

  • Las conexiones SSL/TLS que usan un intercambio de claves que no es RSA, como por ejemplo Diffie-Hellman (DH) o Elliptic Curve Diffie-Hellman (ECDH), no pueden ser descifradas mediante DROWN.

  • Los clientes SSL/TLS modernos soportan ECDH y DH.
    Todos los servicios gestionados por Plesk a excepción de qmail y del autoinstaller están configurados para dar prioridad a ECDH y DH de forma predeterminada.

Puede obtener más información en los enlaces que se muestran a continuación:

Acciones a realizar

Los proveedores de sistemas operativos ya han publicado las actualizaciones correspondientes, por lo que le instamos a actualizar su sistema operativo siguiendo el procedimiento habitual:

RedHat/CentOS

Debian

Ubuntu

La seguridad de nuestros clientes es extremadamente importante para nosotros y por este motivo le instamos a realizar las acciones recomendadas lo antes posible.

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.