FREAK: vulnerabilidad OpenSSL (CVE-2015-0204)
En enero de 2015, Red Hat Product Security abordó la vulnerabilidad CVE-2015-0204 en OpenSSL con la recomendación: [RHSA-2015-0066](https://rhn.redhat.com/errata/RHSA-2015-0066.html y RHSA-2015-0800. La vulnerabilidad fue valorada como de impacto Moderado. Ahora esta vulnerabilidad se conoce en la prensa como FREAK.
Información de fondo
Los clientes OpenSSL aceptaron llaves EXPORT-grade (inseguras) incluso cuando el cliente no las había solicitado inicialmente. Tal situación podría aprovecharse para realizar un ataque Man-in-the-middle, mediante el cual se interceptaría la solicitud inicial del cliente de una llave estándar y se solicitaría al servidor una llave EXPORT-grade. El cliente aceptaría la llave débil, permitiéndole al atacante factorizar y descifrar la comunicación entre el cliente y el servidor.
Impacto
Aunque el uso de cifras EXPORT-grade está desactivado de forma predeterminada en OpenSSL que se distribuye con las versiones más recientes de Red Hat Enterprise Linux (5.11, 6.6 y 7.1), puede activarse mediante aplicaciones que utilizan la biblioteca OpenSSL. Por esta razón, se considera que esta vulnerabilidad afecta a todos los sistemas Red Hat Enterprise Linux 5, 6 y 7, incluidos el servidor, la estación de trabajo, el escritorio y las variantes HPC Node, que no han instalado las versión corregida de paquetes OpenSSL.
La versión openssl097a que se distribuyó con Red Hat Enterprise Linux 5 también se afectó. Debido a que Red Hat Enterprise Linux 5 ahora está en la fase de soporte y mantenimiento de ciclo de vida de Producción 3 , durante la cual únicamente se proporcionan las recomendaciones de seguridad Críticas, no se ha planeado abordar este problema para futuras actualizaciones.
Resolución
Para eliminar la posibilidad de una vulnerabilidad de clientes OpenSSL, instale los paquetes OpenSSL disponibles a través de esta recomendación: RHSA-2015-0066 y RHSA-2015-0800.
Para instalar las actualizaciones, use el gestor de paquetes 'yum', así:
yum update
Para actualizar únicamente el paquete OpenSSL y sus dependencias use:
yum update openssl
Nota: para garantizar que los clientes sin parches que se conecten a un servidor OpenSSL no sean vulnerables a este tipo de fallos, se recomienda inhabilitar cifras EXPORT-grade en el servidor como se describe abajo en la sección de Mitigación.
Nota: Reiniciar el sistema después de actualizarlo es la forma más segura de garantizar que todos los servicios afectados utilicen la biblioteca SSL. Consulte la subsección a continuación si desea evitar el reinicio.
Reinicio de procesos para que los cambios se efectúen
Como se mencionó arriba, la acción más fácil y segura es reiniciar el sistema. También, puede reiniciar los servicios afectados, vea los siguientes ejemplos de pasos:
###### Cómo determinar cuáles procesos se deben reiniciar
Para listar los servicios afectados, utilice grep para DEL
al ejecutar el comando lsof
así:
# lsof | grep DEL | grep -e crypto -e libssl
sshd 7708 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio sshd
certmonge 7940 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio certmonger
Xorg 7986 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio Xwindows
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- utilizado por la sesión ssh con bash shell
master 7796 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
qmgr 7809 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
tuned 7866 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio tuned
pickup 9501 postfix DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
httpd 9524 root DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio httpd
httpd 9526 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9527 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9528 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9529 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9530 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9531 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9532 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9533 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9534 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
httpd 9535 apache DEL REG 253,0 140068 /usr/lib64/libssl.so.1.0.1e
Para reiniciar servicios administrados por chkconfig
:
# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart
Para reiniciar Xorg:
# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5
Luego revise y retire la última lista, y por favor, salga:
# lsof | grep ssl | grep lib | grep DEL
sshd 8990 root DEL REG 253,0 139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- utilizado por el nombre de sesión actual SSH con shell de bash
# logout
Mitigación para clientes sin parches
Para mitigar la vulnerabilidad descrita en este artículo, debe desactivar cifras EXPORT-grade en su cliente o servidor. Esta acción se recomienda, especialmente cuando no esté seguro si todos los clientes conectados al servidor han sido corregidos.
Cómo desactivar cifras EXPORT en httpd
Para no aceptar el uso de cifras EXPORT-grade por el servidor Web httpd
, agregue la directiva !EXP
a la línea SSLCipherSuite
en el archivo de configuración /etc/httpd/conf.d/ssl.conf
. Por ejemplo:
SSLCipherSuite HIGH:!aNULL:!MD5:!EXP
Después de modificar ssl.conf, debe reiniciar el servicio httpd.
# service httpd restart
Comments