[U-co] Alerta por vulnerabilidad CANICHE SSLv3

Jhosman Lizarazo - Ubuntu Colombia jhosman en ubuntu.com
Jue Oct 16 22:26:03 UTC 2014 

En el sitio web de RedHat encontré un script para que veamos si somos
vulnerables o no (aplica sobre todo a servidores, no tanto al usuario
final, pero puede pasar)

Copiar y pegar en un documento.sh

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect
"${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSLv3 disabled"
  else
    echo "SSLv3 enabled"
 fi
else
  echo "SSL disabled or other error"
fi


Guardar y dar permisos de ejecución, luego correr el script y ver los
resultados, si el SSLv3 está habilitado se debe actuar.

El 16 de octubre de 2014, 16:58, Oscar Fabian<ofp.prieto en gmail.com>
escribió:

> ham se publico esta mañana en facebook link oficial de la falla
> https://www.openssl.org/~bodo/ssl-poodle.pdf
>
> interesante que se esta diciendo que la falla mata a SSL v3 y piden migrar
> a TLS
>
> El 16 de octubre de 2014, 16:51, Jhosman Lizarazo - Ubuntu Colombia <
> jhosman en ubuntu.com> escribió:
>
> >  La vulnerabilidad CANICHE es una debilidad en la versión 3 del protocolo
> > SSL que permite a un atacante en un contexto-man-in-the-middle de
> descifrar
> > el contenido de texto sin formato de un mensaje cifrado SSLv3.
> >
> > Mas información en:
> > http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3566.html
> >
> >
> > *¿Quién está afectado por esta vulnerabilidad? *
> > Esta vulnerabilidad afecta a cada pieza de software que puede ser
> > coaccionado para comunicarse con SSLv3. Esto significa que cualquier
> > software que implementa un mecanismo de reserva que incluye soporte SSLv3
> > es vulnerable y puede ser explotado.Algunas piezas comunes de software
> que
> > pueden ser afectados son los navegadores web, servidores web, servidores
> > VPN, servidores de correo, etc-
> >
> > *¿Cómo funciona?*
> >
> > En resumen, la vulnerabilidad existe CANICHE porque el protocolo SSLv3 no
> > comprueba adecuadamente los bytes de relleno que se envían con mensajes
> > cifrados.Puesto que éstos no pueden ser verificados por la parte
> receptora,
> > un atacante puede sustituir a estos y pasarlos al destino previsto.
> Cuando
> > se hace de una manera específica, la carga útil modificada potencialmente
> > será aceptado por el receptor sin queja.
> >
> > Un promedio de una vez de cada 256 solicitudes será aceptado en el
> destino,
> > lo que permite al atacante descifrar un solo byte. Esto se puede repetir
> > fácilmente con el fin de descifrar progresivamente bytes adicionales.
> > Cualquier atacante capaz de forzar repetidamente un participante para
> > volver a enviar los datos mediante este protocolo puede romper el cifrado
> > en un lapso muy corto de tiempo.
> >
> > *¿Cómo puedo protegerme?*
> >
> > Deberían tomarse medidas para asegurarse de que usted no es vulnerable en
> > sus papeles como un cliente y un servidor. Desde encriptación normalmente
> > se negocia entre clientes y servidores, es un tema que involucra a ambas
> > partes.Los servidores y los clientes deben deben tomar medidas para
> > desactivar el soporte SSLv3 completamente.
> >
> > Muchas aplicaciones utilizan mejor encriptación por defecto, pero
> > implementan soporte SSLv3 como una opción de reserva. Esto se debe
> > desactivar, como un usuario malicioso puede forzar la comunicación SSLv3
> si
> > ambos participantes lo permiten como un método aceptable.
> >
> > *Cómo proteger aplicaciones comunes*
> >
> > A continuación, vamos a cubrir cómo deshabilitar SSLv3 en algunas
> > aplicaciones de servidor comunes. Tenga cuidado al evaluar sus servidores
> > para proteger a los servicios adicionales que pueden confiar en el
> cifrado
> > SSL / TCP.
> >
> > Debido a la vulnerabilidad CANICHE no representa un problema de
> aplicación
> > y es un problema inherente con todo el protocolo, no hay ninguna
> solución y
> > la única solución fiable es no usarlo.
> > Nginx servidor Web
> >
> > Para desactivar SSLv3 en el servidor web Nginx, puede utilizar el
> > ssl_protocols Directiva. Esto se encuentra en los server o http bloques
> en
> > su configuración.
> >
> > Por ejemplo, en Ubuntu, puede agregar esta a nivel mundial para
> > /etc/nginx/nginx.conf interior del http bloque, o para cada server bloque
> > en el /etc/nginx/sites-enabled directorio.
> >
> >  sudo nano /etc/nginx/nginx.conf
> >
> > *Para desactivar SSLv3, su ssl_protocols directiva debe establecerse
> así:*
> >
> >  ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
> >
> > Debe reiniciar el servidor después de haber hecho la modificación
> anterior:
> >
> >  sudo service nginx restart
> >
> > *Apache Web Server*
> >
> > Para desactivar SSLv3 en el servidor web Apache, usted tendrá que ajustar
> > el SSLProtocol directiva proporcionada por el mod_ssl módulo.
> >
> > Esta directiva se puede establecer en el nivel de servidor o en una
> > configuración de host virtual. Dependiendo de la configuración de su
> > distribución de Apache, la configuración SSL se puede situar en un
> archivo
> > independiente que proviene.
> >
> > En Ubuntu, la especificación a nivel de servidor para los servidores se
> > puede ajustar mediante la edición del
> /etc/apache2/mods-available/ssl.conf
> > archivo. Si mod_ssl está habilitada, un enlace simbólico se conectará
> este
> > archivo al mods-enabled subdirectorio:
> >
> >  sudo nano /etc/apache2/mods-available/ssl.conf
> >
> > *En CentOS*, puede puede ajustar esto en el archivo de configuración SSL
> se
> > encuentra aquí (si SSL está habilitado):
> >
> >  sudo nano /etc/httpd/conf.d/ssl.conf
> >
> > En el interior se encuentra el SSLProtocol Directiva. Si esto no está
> > disponible, lo crea. Modifique esto para eliminar explícitamente el
> apoyo a
> > SSLv3:
> >
> >  SSLProtocol all -SSLv3 -SSLv2
> >
> > Guarde y cierre el archivo. Reinicie el servicio para permitir los
> cambios.
> >
> > En Ubuntu, puede escribir:
> >
> >  sudo service apache2 restart
> >
> > En CentOS, esto sería:
> >
> >  sudo service httpd restart
> >
> > *HAProxy equilibrador de carga*
> >
> > Para desactivar SSLv3 en un equilibrador de carga HAProxy, tendrá que
> abrir
> > el haproxy.cfg archivo.
> >
> > Esta se encuentra en /etc/haproxy/haproxy.cfg :
> >
> >  sudo nano /etc/haproxy/haproxy.cfg
> >
> > En la configuración de su extremo delantero, si ha habilitado SSL, tu
> bind
> > Directiva especificará la dirección IP pública y el puerto. Si está
> > utilizando SSL, tendrá que añadir no-sslv3 hasta el final de esta línea:
> >
> >  frontend name bind public_ip :443 ssl crt /path/to/certs no-sslv3
> >
> > Guarde y cierre el archivo.
> >
> > Tendrá que reiniciar el servicio para aplicar los cambios:
> >
> >  sudo service haproxy restart
> >
> > *OpenVPN servidor VPN*
> >
> > Las versiones recientes de OpenVPN en realidad no permiten SSLv3. El
> > servicio no es vulnerable a este problema específico, por lo que no
> tendrá
> > que ajustar su configuración.
> >
> > Ver este post en los foros de OpenVPN para más información .
> > Postfix SMTP del servidor https://forums.openvpn.net/topic17268.html
> >
> > Si la configuración de Postfix está configurado para requerir el cifrado,
> > se utilizará una directiva llamada smtpd_tls_mandatory_protocols .
> >
> > Usted puede encontrar esto en el archivo principal de configuración de
> > Postfix:
> >
> >  sudo nano /etc/postfix/main.cf
> >
> > Para un servidor Postfix configurado para utilizar cifrado en todo
> momento,
> > puede asegurarse de que SSLv3 y SSLv2 no son aceptadas por el
> > establecimiento de este parámetro. Si no forzar el cifrado, usted no
> tiene
> > que hacer nada:
> >
> >  smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3
> >
> > Guarde la configuración. Reinicie el servicio para implementar los
> cambios:
> >
> >  sudo service postfix restart
> >
> > *Dovecot IMAP y POP3 Servidor*
> >
> > Para desactivar SSLv3 en un servidor Dovecot, usted tendrá que ajustar
> > directiva llamados ssl_protocols . Dependiendo de sus métodos de
> > distribución de envasado, las configuraciones SSL se pueden mantener en
> un
> > archivo de configuración alternativa.
> >
> > Para la mayoría de las distribuciones, puede ajustar esta directiva
> > mediante la apertura de este archivo:
> >
> >  sudo nano /etc/dovecot/conf.d/10-ssl.conf
> >
> > En el interior, establecer el ssl_protocols directiva para deshabilitar
> > SSLv2 y SSLv3:
> >
> >  ssl_protocols = !SSLv3 !SSLv2
> >
> > Guarde y cierre el archivo.
> >
> > Reinicie el servicio con el fin de aplicar los cambios:
> >
> >  sudo service dovecot restart
> >
> > *Medidas adicionales*
> >
> > Junto con las aplicaciones del lado del servidor, también debe actualizar
> > las aplicaciones cliente.
> >
> > En particular, los navegadores web pueden ser vulnerables a este
> problema a
> > causa de su negociación del protocolo de bajada. Asegúrese de que sus
> > navegadores no permiten SSLv3 como un método de cifrado aceptable. Esto
> > puede ser ajustable en la configuración o mediante la instalación de un
> > plugin o extensión adicional.
> > Conclusión
> >
> > Debido al amplio apoyo SSLv3, incluso cuando el cifrado fuerte está
> > habilitada, esta vulnerabilidad es de gran alcance y peligroso. Usted
> > tendrá que tomar medidas para protegerse a sí mismo tanto como un
> > consumidor y el proveedor de los recursos que utilizan cifrado SSL.
> >
> > Asegúrese de revisar todos sus servicios de redes accesibles que pueden
> > aprovechar SSL / TLS en cualquier forma. A menudo, estas aplicaciones
> > requieren instrucciones explícitas para desactivar por completo las
> formas
> > más débiles de cifrado como SSLv3.
> >
> > --
> > Cordialmente.
> >
> >
> >
> > Jhosman Lizarazo
> > https://launchpad.net/~jhosman
> > --
> > Al escribir recuerde observar la etiqueta (normas) de esta lista:
> > http://goo.gl/Pu0ke
> > Para cambiar su inscripción, vaya a "Cambio de opciones" en
> > http://goo.gl/Nevnx
> >
>
>
>
> --
>
>         .---.        .-----------  Cordialmente.
>        /     \  __  /    ------   #Oscar Fabian Prieto Gonzalez
>       / /     \(  )/    -----     #Tecnico en Sistemas
>      //////   ' \/ `   ---        #GNU/user
>     //// / // :    : ---          #www.ofprieto.blogspot.com
>    // /   /  /`    '--
>   //          //..\\
> =============UU====UU====
>              '//||\\`
>                ''``
> --
> Al escribir recuerde observar la etiqueta (normas) de esta lista:
> http://goo.gl/Pu0ke
> Para cambiar su inscripción, vaya a "Cambio de opciones" en
> http://goo.gl/Nevnx
>



-- 
Cordialmente.



Jhosman Lizarazo
https://launchpad.net/~jhosman

Más información sobre la lista de distribución Ubuntu-co