Vulnerabilidade de SSL 3.0 POODLE nos produtos OneSpan

ID do comunicado vasco-sa-20141017-poodle

Número de revisão 1.0

Data de lançamento 17 de outubro de 2014 13:52 UTC + 1

Última atualização 17 de outubro de 2014 13:52 UTC + 1

Resumo

Em 14 de outubro de 2014, os pesquisadores de segurança do Google anunciaram publicamente uma vulnerabilidade na versão 3.0 do protocolo Secure Sockets Layer (SSL). A vulnerabilidade permite que um invasor remoto não autenticado descriptografe partes de comunicações criptografadas usando o modo de operação Cipher Block Chaining (CBC) para cifras de bloco. A vulnerabilidade é comumente referida como POODLE (Padding Oracle On Downgraded Legacy Encryption).

Produtos impactados

Os seguintes produtos são afetados pela vulnerabilidade POODLE:

  • Servidor IDENTIKEY 3.3, 3.4
  • Servidor de autenticação IDENTIKEY 3.4 SR1, 3.5
  • Servidor de Federação IDENTIKEY 1.3, 1.4, 1.5
  • IDENTIKEY Appliance 3.2.4. {2,3}, 3,4,5. {0,1}, 3,4,6. {0,1}
  • Dispositivo virtual IDENTIKEY 3.4.6. {0,1}
  • Gatekeeper aXsGUARD (todas as versões)

Descrição

O Secure Sockets Layer (SSL) 3.0 é um protocolo criptográfico usado para proteger a confidencialidade e a integridade dos dados trocados por redes IPv4 e IPv6. Em 14 de outubro de 2014, os pesquisadores de segurança do Google anunciaram publicamente uma vulnerabilidade no protocolo SSL 3.0. A vulnerabilidade permite que um invasor remoto não autenticado, que atua como um intermediário, descriptografe partes de comunicações criptografadas usando o modo de operação CBC (Block Cipher) do encadeamento de códigos. Mais especificamente, a vulnerabilidade permite ao invasor descriptografar um determinado byte de texto cifrado com no máximo 256 tentativas. A vulnerabilidade existe devido à sequência de criptografia e autenticação de mensagens e ao tipo de preenchimento no SSL 3.0.

A vulnerabilidade é comumente referida como POODLE (Padding Oracle On Downgraded Legacy Encryption). Não se aplica aos protocolos Transport Layer Security (TLS).

A esta vulnerabilidade foi atribuída a ID de Vulnerabilidades e Exposições Comuns (CVE) CVE-2014-3566.

Pontuação de gravidade

A tabela abaixo indica a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.

Pontuação Base CVSS: 2.6

Vetor de acesso Complexidade de acesso Autenticação Impacto da confidencialidade Impacto na integridade Impacto na disponibilidade
Rede Alto Nenhum Parcial Nenhum Nenhum

 

Pontuação temporal CVSS: 2.5
Exploração Nível de correção Relatório de Confiança
Funcional Indisponível Confirmado

 

Correções do produto

O OneSpan lançará os seguintes patches:

  • Servidor de Federação IDENTIKEY 1.4.4, 1.5.3 em 22 de outubro de 2014

O OneSpan lançará os seguintes produtos:

  • aXsGUARD Gatekeeper 8.0.0, a partir de 23 de outubro de 2014

Recomenda-se que os clientes que usam o IDENTIKEY Federation Server 1.3 atualizem o IDENTIKEY Federation Server 1.4 ou 1.5 e apliquem o patch correspondente.

Recomenda-se que os clientes que usam versões impactadas do IDENTIKEY Server ou IDENTIKEY Authentication Server atualizem para o IDENTIKEY Authentication Server 3.6, no qual o SSL 3.0 está desativado por padrão. Como alternativa, os clientes podem desativar manualmente o SSL 3.0 e ativar o TLS 1.x.

Recomenda-se que os clientes que usam versões impactadas do IDENTIKEY Appliance ou do IDENTIKEY Virtual Appliance atualizem para o IDENTIKEY (Virtual) Appliance 3.4.6.2 ou superior, no qual o SSL 3.0 está desativado por padrão.

Os clientes que usam versões impactadas do aXsGUARD Gatekeeper podem desativar manualmente o SSL 3.0 ou atualizar para a versão 8.0.0, na qual o SSL 3.0 está desativado por padrão.

Localização

Para produtos aXsGUARD Gatekeeper:

O OneSpan implantará patches por meio do serviço de atualização automatizada. Os clientes que não permitirem que seu sistema seja atualizado por meio deste serviço devem entrar em contato com a OneSpan para obter instruções sobre como obter o patch.

Para outros produtos:

Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.

Referência

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566

https://www.openssl.org/~bodo/ssl-poodle.pdf

Contrato

Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.

Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.

Vulner Vulnerabilidade do SSL 3.0 POODLE nos produtos OneSpan