Descripción: El host remoto admite el uso de cifrados SSL que ofrecen cifrado de intensidad media. la cual utiliza longitudes de clave de al menos 64 bits y menos de 112 bits, o bien que utiliza el conjunto de codificación 3DES. con base en lo anterior se evidencia el riesgo en el cual el tráfico entre su servidor seguro (https) y el cliente puede ser descifrado.

Los navegadores web más antiguos pueden no ser capaces de trabajar con cifrados de intensidad alta, se recomienda actualizar los navegadores en sus versiones más recientes para prevenir inconvenientes de incompatibilidad con el servicio web.

CVE: N/A
Factor de Riesgo: Medio
Valor CVSS Base: 5.3

Solución: Reconfigure la aplicación afectada si es posible para evitar el uso de cifrados de intensidad media.

SISTEMA OPERATIVO LINUX

  • Ejecute el siguiente comando para verificar que el dispositivo este aceptando suites de cifrado débiles
    openssl s_client -connect localhost:443 -cipher MEDIUM
  • En el dispositivo afectado modifique el siguiente archivo /etc/httpd/conf.d/ssl.conf con el editor de su preferencia
    vi /etc/httpd/conf.d/ssl.conf
  • Modificar la siguiente linea
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW
    Cambiela por:
    SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:!MEDIUM:+HIGH
  • Guarde el archivo con :wq y reinicie el servicio httpd
    service httpd restart
  • Verifique nuevamente que no se acepten los cifrados débiles, como salida la conexión debe ser rechazada
    openssl s_client -connect localhost:443 -cipher MEDIUM
  • Valide que acepte los tipos de cifrados alto
    openssl s_client -connect localhost:443 -cipher HIGH
    Debe obtener una conexión y una respuesta solamente a peticiones con suites de cifrados mas fuertes

SISTEMA OPERATIVO WINDOWS

Ingresar al siguiente link: https://www.nartac.com/Products/IISCrypto/ seleccionar el botón download y descargar la versión IIS Crypto GUIInstalar IIS Crypto, una vez instalada ingresar a la aplicación la cual permite de una manera ágil y sencilla modificar los protocolos, suites de cifrado y hashes que se requieren en la maquina, una vez iniciada la aplicación seleccionar las siguientes opciones.


Una vez finalizados los ajustes seleccionar el botón “Apply”, al finalizar se recomendara un reinicio del dispositivo para que los cambios hagan efecto.

 

Solución: VMWARE

En las tablas siguientes se enumeran los cifrados admitidos y sus puertos en ESX / ESXi y vCenter Server. Estas cifras se basan en el paquete OpenSSL creado por VMware que se entrega con vCenter Server (Servidor vCenter Server \ openSL \ openssl.exe en vSphere 6.0), vCenter Server Appliance ( / usr / lib / vmware -openSSL / openssl en vSphere 6.0 ), y ESXi ( / bin / openssl ). VMware no aprovecha el paquete OpenSSL enviado de forma nativa con SLES.

ESX / ESXi

Cifras soportadas
RC4-MD5
RC4-SHA

AES128-SHA

DES-CBC3-SHA
Suite B 1,2
Puerto 443
ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
Actualización ESX 4.0
Soportado
Soportado
Soportado
Soportado
No soportado
ESX 4.1
Soportado
Soportado
Soportado
Soportado
No soportado
ESXi 5.x
No soportado
No soportado
Soportado
Soportado
Soportado 2
ESXi 6.0 No soportado No soportado Soportado No soportado Soportado 2
ESXi 6.5 No soportado No soportado Soportado No soportado Soportado 2

No Comment

Comments are closed.

You may also like