ALERTA:  Vulnerabilidad en TLS / SSL

06-11-2009                                                CA-AL-13-1109
 

PROBLEMA: Una vulnerabilidad en el protocolo TLS version 1.0 o posterior y SSLv3, puede permitir a un atacante remoto realizar un ataque  del tipo man-in-the-middle (MITM) mediante la inyección de texto plano conocido como prefijo en una sesión TLS de un usuario. Ataques prácticos contra certificados de autenticación de clientes de HTTPS han sido demostrados en versiones recientes de Microsoft IIS y Apache.

Es importante destacar que esta vulnerabilidad no permite al atacante descifrar la comunicación interceptada.

VERSIONES AFECTADAS:

TLS version 1.0 o posterior y SSLv3.

SOLUCIÓN: Sin solución.

VALORACIÓN DEL IMPACTO:       EXTREMADAMENTE ALTO

REFERENCIAS:

IETF - http://www.ietf.org/mail-archive/web/tls/current/msg03948.html
SUN - http://blogs.sun.com/security/entry/vulnerability_in_tls_protocol_during
SEGU-INFO - http://blog.segu-info.com.ar/2009/11/se-hace-publica-vulnerabilidad-man-...
ALTOSEC - http://blog.altosec.com.ar/2009/11/vulnerabilidad-de-m-i-t-m-en-tls-1-0-...
CERTuy - http://www.cert.uy/alertas/