Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/09/2011
Microsoft publica herramientas para solucionar fallo en SSL/TLS
Microsoft ha publicado herramientas para solucionar un fallo publicado la semana pasada, que permitiría descifrar conversaciones privadas.
Microsoft ha publicado un boletín en que informa de la posible revelación de información en SSL/TLS cuando se usa el modo CBC combinado con AES. Como medida de mitigación, Microsoft sugiere cambiar al cifrado via RC4, un algoritmo que no es vulnerable al ataque de "texto plano elegido" que se ha publicado recientemente. Este ataque también es conocido por BEAST (Browser Exploit Against SSL/TLS), el nombre que recibe la herramienta que explota este problema.
Para usar RC4, las instrucciones aconsejan a los administradores mover dichas suites de cifrado a los primeros puestos de la lista de suites de cifrado, de forma que se presenten al usuario en primer lugar. Las instrucciones se pueden obtener aquí.
A pesar de ello, que los clientes acepten estas suites es otro problema. Por ello se recomienda tembién cambiar a TLS 1.1.
Para ejecutar este cambio, Microsoft ha publicado dos paquetes Fix-it que habilitan TLS 1.1 en Internet Explores y en servidores Windows. Por defecto, únicamente está habilitado TLS 1.0, aunque programas como Internet Explorer si que ofrecen soporte a TLS 1.1 y 1.2. En Internet Explorer, estas opciones también se pueden cambiar dentro de Opciones de Internet / Avanzado sin necesidad del paquete fix-it. La configuración manual de los servidores Windows es más compleja, por lo que se recomienda utilizar el paquete publicado para ello.
Los desarrolladores de Firefox están debatiendo como solucionar este problema de la mejor forma sin impactar en la compatibilidad con servicios web. Actualmente Firefox únicamente soporta TLS 1.0.