ID do comunicado vasco-sa-20141017-poodle
Número de revisão 1.0
Data de lançamento 17 de outubro de 2014 13:52 UTC + 1
Última atualização 17 de outubro de 2014 13:52 UTC + 1
Resumo
Em 14 de outubro de 2014, os pesquisadores de segurança do Google anunciaram publicamente uma vulnerabilidade na versão 3.0 do protocolo Secure Sockets Layer (SSL). A vulnerabilidade permite que um invasor remoto não autenticado descriptografe partes de comunicações criptografadas usando o modo de operação Cipher Block Chaining (CBC) para cifras de bloco. A vulnerabilidade é comumente referida como POODLE (Padding Oracle On Downgraded Legacy Encryption).
Produtos impactados
Os seguintes produtos são afetados pela vulnerabilidade POODLE:
- Servidor IDENTIKEY 3.3, 3.4
- Servidor de autenticação IDENTIKEY 3.4 SR1, 3.5
- Servidor de Federação IDENTIKEY 1.3, 1.4, 1.5
- IDENTIKEY Appliance 3.2.4. {2,3}, 3,4,5. {0,1}, 3,4,6. {0,1}
- Dispositivo virtual IDENTIKEY 3.4.6. {0,1}
- Gatekeeper aXsGUARD (todas as versões)
Descrição
O Secure Sockets Layer (SSL) 3.0 é um protocolo criptográfico usado para proteger a confidencialidade e a integridade dos dados trocados por redes IPv4 e IPv6. Em 14 de outubro de 2014, os pesquisadores de segurança do Google anunciaram publicamente uma vulnerabilidade no protocolo SSL 3.0. A vulnerabilidade permite que um invasor remoto não autenticado, que atua como um intermediário, descriptografe partes de comunicações criptografadas usando o modo de operação CBC (Block Cipher) do encadeamento de códigos. Mais especificamente, a vulnerabilidade permite ao invasor descriptografar um determinado byte de texto cifrado com no máximo 256 tentativas. A vulnerabilidade existe devido à sequência de criptografia e autenticação de mensagens e ao tipo de preenchimento no SSL 3.0.
A vulnerabilidade é comumente referida como POODLE (Padding Oracle On Downgraded Legacy Encryption). Não se aplica aos protocolos Transport Layer Security (TLS).
A esta vulnerabilidade foi atribuída a ID de Vulnerabilidades e Exposições Comuns (CVE) CVE-2014-3566.
Pontuação de gravidade
A tabela abaixo indica a pontuação de vulnerabilidade do CVSS 2.0 das várias vulnerabilidades.
Pontuação Base CVSS: 2.6 |
|||||
Vetor de acesso | Complexidade de acesso | Autenticação | Impacto da confidencialidade | Impacto na integridade | Impacto na disponibilidade |
Rede | Alto | Nenhum | Parcial | Nenhum | Nenhum |
Pontuação temporal CVSS: 2.5 | ||
Exploração | Nível de correção | Relatório de Confiança |
Funcional | Indisponível | Confirmado |
Correções do produto
O OneSpan lançará os seguintes patches:
- Servidor de Federação IDENTIKEY 1.4.4, 1.5.3 em 22 de outubro de 2014
O OneSpan lançará os seguintes produtos:
- aXsGUARD Gatekeeper 8.0.0, a partir de 23 de outubro de 2014
Recomenda-se que os clientes que usam o IDENTIKEY Federation Server 1.3 atualizem o IDENTIKEY Federation Server 1.4 ou 1.5 e apliquem o patch correspondente.
Recomenda-se que os clientes que usam versões impactadas do IDENTIKEY Server ou IDENTIKEY Authentication Server atualizem para o IDENTIKEY Authentication Server 3.6, no qual o SSL 3.0 está desativado por padrão. Como alternativa, os clientes podem desativar manualmente o SSL 3.0 e ativar o TLS 1.x.
Recomenda-se que os clientes que usam versões impactadas do IDENTIKEY Appliance ou do IDENTIKEY Virtual Appliance atualizem para o IDENTIKEY (Virtual) Appliance 3.4.6.2 ou superior, no qual o SSL 3.0 está desativado por padrão.
Os clientes que usam versões impactadas do aXsGUARD Gatekeeper podem desativar manualmente o SSL 3.0 ou atualizar para a versão 8.0.0, na qual o SSL 3.0 está desativado por padrão.
Localização
Para produtos aXsGUARD Gatekeeper:
O OneSpan implantará patches por meio do serviço de atualização automatizada. Os clientes que não permitirem que seu sistema seja atualizado por meio deste serviço devem entrar em contato com a OneSpan para obter instruções sobre como obter o patch.
Para outros produtos:
Os clientes com um contrato de manutenção podem obter versões fixas do produto no MyMaintenance. Clientes sem contrato de manutenção devem entrar em contato com o representante de vendas local.
Referência
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566
https://www.openssl.org/~bodo/ssl-poodle.pdf
Contrato
Embora todo esforço razoável seja feito para processar e fornecer informações precisas, todo o conteúdo e as informações contidas neste documento são fornecidos "no estado em que se encontram" e "conforme disponível", sem qualquer representação ou endosso e sem garantia expressa ou implícita, COMPETÊNCIA OU ADEQUAÇÃO, OU QUALQUER GARANTIA, INCLUINDO AS GARANTIAS DE COMERCIALIZAÇÃO OU ADEQUAÇÃO A UM USO OU FINS ESPECÍFICOS. A UTILIZAÇÃO DESTE DOCUMENTO, QUALQUER INFORMAÇÃO FORNECIDA OU MATERIAIS LIGADOS DESTE DOCUMENTO É POR SUA CONTA E RISCO. A VASCO RESERVA-SE O DIREITO DE ALTERAR OU ATUALIZAR AS INFORMAÇÕES DESTE DOCUMENTO A QUALQUER MOMENTO E A SEU DISCRETO, E QUANDO SE TIVER DISPONIBILIDADE DE INFORMAÇÕES NOVAS OU ADICIONAIS.
Direitos autorais © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Todos os direitos reservados.
Vulner Vulnerabilidade do SSL 3.0 POODLE nos produtos OneSpan