[Plesk] CVE-2015-4000 Vulnerabilidad LOGJAM TLS DH

Created:

2016-11-16 13:03:45 UTC

Modified:

2017-08-16 16:27:11 UTC

6

Was this article helpful?


Have more questions?

Enviar una solicitud

[Plesk] CVE-2015-4000 Vulnerabilidad LOGJAM TLS DH

Applicable to:

  • Plesk 10.x for Linux
  • Plesk 12.5 for Linux
  • Plesk 11.x for Linux
  • Plesk 11.x for Windows
  • Plesk 12.0 for Windows
  • Plesk 12.0 for Linux

Síntomas

Se ha detectado una vulnerabilidad en la implementación del protocolo TLS. Esta se denomina 'Logjam' o CVE-2015-4000 . Logjam es una nueva vulnerabilidad que afecta al protocolo de intercambio de llaves Diffie-Hellman usado en TLS.

Básicamente:

"La vulnerabilidad Logjam permite a un atacante man-in-the-middle realizar ataques de degradación de conexiones TLS vulnerables a criptografía de tipo export de 512 bits. Como resultado, el atacante puede leer y modificar cualquier dato transmitido durante la conexión. El ataque es reminiscente del ataque FREAK, si bien esto es debido a una brecha de seguridad en el protocolo TLS más que a una vulnerabilidad de implementación y ataca al intercambio de claves Diffie-Hellman en vez de al intercambio de claves RSA. La vulnerabilidad afecta a cualquier servidor que soporte ciphers DHE_EXPORT y afecta a todos los navegadores web modernos. Inicialmente, el 8,4 % del millón de dominios más importantes se vieron afectados por este ataque."

En este whitepaper puede obtener más información acerca de esta vulnerabilidad.

Resolución

Linux:

Los proveedores de sistemas operativos han publicado los siguientes avisos de seguridad para corregir esta vulnerabilidad:

Debian

RedHat/CentOS

Ubuntu

Hemos preparado un parche siguiendo las recomendaciones de la guía para el despliegue de Diffie-Hellman para TLS .

Aplique primero el script en un entorno de pruebas. Si experimenta cualquier incidencia, póngase en contacto con nuestro equipo de soporte técnico.

El script aplicará el parche correctament si dispone de OpenSSL 1.0.1 o una versión posterior. En el caso de las versiones anteriores, estas no ofrecen soporte para TLS v1.1 y TLS v1.2.

Uso:

~# wget https://support.plesk.com/hc/article_attachments/115004355285/SSLfix.zip
~# unzip SSLfix.zip
~# chmod +x SSLfix.sh

./SSLfix.sh [v3|dh] [service name like apache, nginx]

Este aplicará el parche a la configuración de todos los servicios para SSL v3 (Poodle) y weak DH (Logjam)

Nota : el script también le protege frente a CVE-2014-3566: POODLE attack

Windows:

  1. Abra Group Policy Object Editor (es decir, ejecute gpedit.msc en el command prompt).
  2. Amplíe Computer Configuration > Administrative Templates > Network > SSL Configuration Settings.
  3. Debajo de SSL Configuration Settings , abra la opción SSL Cipher Suite Order .
  4. Configure un orden seguro para la suite de cifrado. Consulte la lista de ciphers soportados de Microsoft y las instrucciones para la configuración de TLS de Mozilla.

Attachments:

¿Tiene más preguntas? Enviar una solicitud
Inicie sesión para dejar un comentario.