1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • Vulnerabilidad en SSL/TLS

    From Enric Lleal Serra@2:343/107.1 to Todos on Thu Nov 12 09:56:58 2009
    ­Hola Todos!


    ;-mm

    +--------------------------------------------------------------------+
    | Descubierta grave vulnerabilidad en SSL/TLS |
    | http://barrapunto.com/article.pl?sid=09/11/06/106253 | +--------------------------------------------------------------------+

    calamar nos cuenta: ®Leo en [0]Slashdot una noticia que se est 
    extendiendo como la p¢lvora: se trata de una [1]vulnerabilidad bastante
    seria en SSL. Resumidamente, se trata de un cl sico [2]man-in-the-middle
    que podr¡a explotar la renegociaci¢n de SSL para inyectar un prefijo
    arbitrario en cualquier sesi¢n SSL, lo que pasar¡a inadvertido a ambos
    lados de la conexi¢n. Se han [3]demostrado ataques pr cticos contra la autenticaci¢n por certificados en el cliente contra versiones recientes
    de los servidores Apache y Microsoft IIS en varias plataformas y
    clientes. Tambi‚n se han demostrado casos que no necesitan de
    certificados en el cliente. La investigaci¢n continua y se espera que
    surjan ataques generalizados contra otros protocolos basados en TLS. De
    momento existe un [4]parche para la versi¢n de desarrollo de openssl, que deshabilita toda renegociaci¢n¯.

    Enlaces:
    0. http://slashdot.org/
    1. http://www.links.org/?p=780
    2. http://es.wikipedia.org/wiki/Ataque_Man-in-the-middle
    3. http://extendedsubset.com/
    4. http://www.links.org/files/no-renegotiation-2.patch


    -
    A reveure!!
    Enric
    _____________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | fidonet.ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | lleal.org

    ... Sex: The most fun you can have without laughing.
    --- Argus > Crashmail II > GoldED+
    * Origin: Black Flag & Crossed Bones : Eye Of The Beholder BBS! (2:343/107.1)