Translated message

A translation of this page exists in English.

FREAK: vulnerabilidad OpenSSL (CVE-2015-0204)

En enero de 2015, Red Hat Product Security abordó la vulnerabilidad CVE-2015-0204 en OpenSSL con la recomendación: [RHSA-2015-0066](https://rhn.redhat.com/errata/RHSA-2015-0066.html y RHSA-2015-0800. La vulnerabilidad fue valorada como de impacto Moderado. Ahora esta vulnerabilidad se conoce en la prensa como FREAK.

Información de fondo

Los clientes OpenSSL aceptaron llaves EXPORT-grade (inseguras) incluso cuando el cliente no las había solicitado inicialmente. Tal situación podría aprovecharse para realizar un ataque Man-in-the-middle, mediante el cual se interceptaría la solicitud inicial del cliente de una llave estándar y se solicitaría al servidor una llave EXPORT-grade. El cliente aceptaría la llave débil, permitiéndole al atacante factorizar y descifrar la comunicación entre el cliente y el servidor.

Impacto

Aunque el uso de cifras EXPORT-grade está desactivado de forma predeterminada en OpenSSL que se distribuye con las versiones más recientes de Red Hat Enterprise Linux (5.11, 6.6 y 7.1), puede activarse mediante aplicaciones que utilizan la biblioteca OpenSSL. Por esta razón, se considera que esta vulnerabilidad afecta a todos los sistemas Red Hat Enterprise Linux 5, 6 y 7, incluidos el servidor, la estación de trabajo, el escritorio y las variantes HPC Node, que no han instalado las versión corregida de paquetes OpenSSL.

La versión openssl097a que se distribuyó con Red Hat Enterprise Linux 5 también se afectó. Debido a que Red Hat Enterprise Linux 5 ahora está en la fase de soporte y mantenimiento de ciclo de vida de Producción 3 , durante la cual únicamente se proporcionan las recomendaciones de seguridad Críticas, no se ha planeado abordar este problema para futuras actualizaciones.

Resolución

Para eliminar la posibilidad de una vulnerabilidad de clientes OpenSSL, instale los paquetes OpenSSL disponibles a través de esta recomendación: RHSA-2015-0066 y RHSA-2015-0800.

Para instalar las actualizaciones, use el gestor de paquetes 'yum', así:

yum update

Para actualizar únicamente el paquete OpenSSL y sus dependencias use:

yum update openssl

Nota: para garantizar que los clientes sin parches que se conecten a un servidor OpenSSL no sean vulnerables a este tipo de fallos, se recomienda inhabilitar cifras EXPORT-grade en el servidor como se describe abajo en la sección de Mitigación.

Nota: Reiniciar el sistema después de actualizarlo es la forma más segura de garantizar que todos los servicios afectados utilicen la biblioteca SSL. Consulte la subsección a continuación si desea evitar el reinicio.

Reinicio de procesos para que los cambios se efectúen

Como se mencionó arriba, la acción más fácil y segura es reiniciar el sistema. También, puede reiniciar los servicios afectados, vea los siguientes ejemplos de pasos:

###### Cómo determinar cuáles procesos se deben reiniciar

Para listar los servicios afectados, utilice grep para DEL al ejecutar el comando lsof así:

# lsof | grep DEL | grep -e crypto -e libssl

sshd      7708      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio sshd
certmonge 7940      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio certmonger
Xorg      7986      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- servicio Xwindows
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- utilizado por la sesión ssh con bash shell
master    7796      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
qmgr      7809   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
tuned     7866      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio tuned
pickup    9501   postfix  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio postfix
httpd     9524      root  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
^^^--- servicio httpd
httpd     9526    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9527    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9528    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9529    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9530    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9531    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9532    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9533    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9534    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e
httpd     9535    apache  DEL       REG              253,0              140068 /usr/lib64/libssl.so.1.0.1e

Para reiniciar servicios administrados por chkconfig:

# service sshd restart
# service certmonger restart
# service postfix restart
# service tuned restart
# service httpd restart

Para reiniciar Xorg:

# init 3
# lsof | grep DEL | grep -e crypto -e libssl
# init 5

Luego revise y retire la última lista, y por favor, salga:

# lsof | grep ssl | grep lib | grep DEL
sshd      8990      root  DEL       REG              253,0              139948 /usr/lib64/libcrypto.so.1.0.1e
^^^--- utilizado por el nombre de sesión  actual SSH con shell de bash
# logout

Mitigación para clientes sin parches

Para mitigar la vulnerabilidad descrita en este artículo, debe desactivar cifras EXPORT-grade en su cliente o servidor. Esta acción se recomienda, especialmente cuando no esté seguro si todos los clientes conectados al servidor han sido corregidos.

Cómo desactivar cifras EXPORT en httpd

Para no aceptar el uso de cifras EXPORT-grade por el servidor Web httpd, agregue la directiva !EXP a la línea SSLCipherSuite en el archivo de configuración /etc/httpd/conf.d/ssl.conf. Por ejemplo:

SSLCipherSuite HIGH:!aNULL:!MD5:!EXP

Después de modificar ssl.conf, debe reiniciar el servicio httpd.

# service httpd restart

Información adicional

Red Hat Security Blog on CVE-2015-0204

Comments