Vulnerabilidad de SSL 3.0 POODLE en productos OneSpan

ID de aviso vasco-sa-20141017-caniche

Número de revisión 1.0

Fecha de lanzamiento 17 de octubre de 2014 01:52 PM UTC + 1

Última actualización 17 de octubre de 2014 01:52 PM UTC + 1

Resumen

El 14 de octubre de 2014, los investigadores de seguridad de Google anunciaron públicamente una vulnerabilidad en la versión 3.0 del protocolo Secure Sockets Layer (SSL). La vulnerabilidad permite que un atacante remoto no autenticado descifre partes de las comunicaciones que están encriptadas utilizando el modo de operación Cipher Block Chaining (CBC) para cifrados de bloque. La vulnerabilidad se conoce comúnmente como Padding Oracle en cifrado heredado degradado (POODLE).

Productos impactados

Los siguientes productos están afectados por la vulnerabilidad POODLE:

  • Servidor IDENTIKEY 3.3, 3.4
  • Servidor de autenticación IDENTIKEY 3.4 SR1, 3.5
  • IDENTIKEY Federation Server 1.3, 1.4, 1.5
  • Dispositivo IDENTIKEY 3.2.4. {2,3}, 3.4.5. {0,1}, 3.4.6. {0,1}
  • Dispositivo virtual IDENTIKEY 3.4.6. {0,1}
  • aXsGUARD Gatekeeper (todas las versiones)

Descripción

Secure Sockets Layer (SSL) 3.0 es un protocolo criptográfico utilizado para proteger la confidencialidad e integridad de los datos intercambiados a través de redes IPv4 e IPv6. El 14 de octubre de 2014, los investigadores de seguridad de Google anunciaron públicamente una vulnerabilidad en el protocolo SSL 3.0. La vulnerabilidad permite que un atacante remoto no autenticado que actúa como un hombre en el medio descifre partes de las comunicaciones que están encriptadas usando el modo de operación Cipher Block Chaining (CBC) para cifrados de bloque. Más específicamente, la vulnerabilidad permite al atacante descifrar un cierto byte de texto cifrado con un máximo de 256 intentos. La vulnerabilidad existe debido a la secuencia de cifrado y autenticación de mensajes, y debido al tipo de relleno en SSL 3.0.

La vulnerabilidad se conoce comúnmente como Padding Oracle en cifrado heredado degradado (POODLE). No se aplica a los protocolos de Seguridad de la capa de transporte (TLS).

A esta vulnerabilidad se le ha asignado el ID de vulnerabilidad y exposición común (CVE) CVE-2014-3566.

Puntuación de gravedad

La siguiente tabla denota la puntuación de vulnerabilidad CVSS 2.0 de las diversas vulnerabilidades.

Puntuación base de CVSS: 2.6
Vector de acceso Complejidad de acceso Autenticación Impacto de confidencialidad Impacto de integridad Impacto de disponibilidad
Red Alto Ninguna Parcial Ninguna Ninguna

 

Puntuación temporal de CVSS: 2.5
Explotabilidad Nivel de remediación Informar confianza
Funcional Indisponible Confirmado

 

Arreglos de productos

OneSpan lanzará los siguientes parches:

  • IDENTIKEY Federation Server 1.4.4, 1.5.3 el 22 de octubre de 2014

OneSpan lanzará los siguientes productos:

  • aXsGUARD Gatekeeper 8.0.0, a partir del 23 de octubre de 2014

Se recomienda a los clientes que usan IDENTIKEY Federation Server 1.3 que actualicen IDENTIKEY Federation Server 1.4 o 1.5 y apliquen el parche correspondiente.

Se recomienda a los clientes que utilizan versiones afectadas de IDENTIKEY Server o IDENTIKEY Authentication Server que actualicen a IDENTIKEY Authentication Server 3.6, en el que SSL 3.0 está deshabilitado de forma predeterminada. Alternativamente, los clientes pueden deshabilitar manualmente SSL 3.0 y habilitar TLS 1.x.

Se recomienda a los clientes que usan versiones afectadas de IDENTIKEY Appliance o IDENTIKEY Virtual Appliance que actualicen a IDENTIKEY (Virtual) Appliance 3.4.6.2 o superior, en el que SSL 3.0 está deshabilitado de manera predeterminada.

Los clientes que usan versiones afectadas de aXsGUARD Gatekeeper pueden deshabilitar manualmente SSL 3.0 o actualizar a la versión 8.0.0, en la que SSL 3.0 está deshabilitado de manera predeterminada.

Ubicación

Para los productos aXsGUARD Gatekeeper:

OneSpan implementará parches a través del servicio de actualización automatizado. Los clientes que no permiten que su sistema reciba actualizaciones a través de este servicio deben comunicarse con OneSpan para obtener instrucciones sobre cómo obtener el parche.

Para otros productos:

Los clientes con un contrato de mantenimiento pueden obtener versiones fijas de productos de MyMaintenance. Los clientes sin contrato de mantenimiento deben comunicarse con su representante de ventas local.

Referencia

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

Nota legal

MIENTRAS QUE CADA ESFUERZO RAZONABLE SE HACE PARA PROCESAR Y PROPORCIONAR INFORMACIÓN QUE ES EXACTA, TODO EL CONTENIDO Y LA INFORMACIÓN EN ESTE DOCUMENTO SE PROPORCIONAN "TAL CUAL" Y "SEGÚN DISPONIBILIDAD", SIN NINGUNA REPRESENTACIÓN O RESPALDO Y SIN NINGUNA GARANTÍA DE MONEDA EXPRESA O IMPLÍCITA, COMPLETIDAD O ADECUACIÓN, O CUALQUIER GARANTÍA, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD O APTITUD PARA UN USO O PROPÓSITO EN PARTICULAR. SU USO DE ESTE DOCUMENTO, CUALQUIER INFORMACIÓN PROPORCIONADA O DE MATERIALES VINCULADOS DE ESTE DOCUMENTO ES BAJO SU PROPIO RIESGO. VASCO SE RESERVA EL DERECHO DE CAMBIAR O ACTUALIZAR LA INFORMACIÓN EN ESTE DOCUMENTO EN CUALQUIER MOMENTO Y A SU DISCRECIÓN, EN CUANTO A CUANDO LA INFORMACIÓN NUEVA O ADICIONAL ESTÉ DISPONIBLE.

Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos los derechos reservados.

Vulnerability Vulnerabilidad SSL 3.0 POODLE en productos OneSpan