Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
28/09/2011
Microsoft publica ferramentes per a solucionar fallada en SSL/TLS
Microsoft ha publicat eines per a solucionar un fallada publicada la setmana passada, que permetria desxifrar conversacions privades.
Microsoft ha publicat un butlletí, en què informa de la possible revelació d'informació en SSL/TLS quan s'usa el mode CBC, combinat amb AES. Com a mesura de mitigació, Microsoft suggereix canviar al xifrat via RC4, un algoritme que no és vulnerable a l'atac de "text pla triat" que s'ha publicat recentment. Aquest atac també és conegut per BEAST (Browser Exploit Against SSL/TLS), que és el nom que rep l'eina que explota aquest problema.
Per a usar RC4, les instruccions aconsellen els administradors moure les dites suites de xifrat als primers llocs de la llista de suites de xifrat, de manera que es presenten l'usuari en primer lloc. Les instruccions es poden obtindre ací:
Malgrat això, que els clients accepten aquestes suites és un altre problema. Per això es recomana també canviar a TLS 1.1.
Per a executar aquest canvi, Microsoft ha publicat dos paquets Fix-it que habiliten TLS 1.1 en Internet Explores i en servidors Windows. Per defecte, únicament està habilitat TLS 1.0, encara que programes com a Internet Explorer si que ofereixen suport a TLS 1.1 i 1.2. En Internet Explorer, aquestes opcions també es poden canviar dins d'Opcions d'Internet / Avançat sense necessitat del paquet fix-it. La configuració manual dels servidors Windows és més complexa, per la qual cosa es recomana utilitzar el paquet publicat per a això.
Els desenvolupadors de Firefox estan debatent com solucionar aquest problema de la millor forma, sense impactar en la compatibilitat amb serveis web. Actualment Firefox únicament suporta TLS 1.0.