Return Of Bleichenbacher’s Oracle Threat (ROBOT) Information Disclosure
Descripción: Se ha detectado una vulnerabilidad permite la divulgación no autorizada de información. El servicio SSL/TLS permite el intercambio de llaves RSA que puede derivar en la fuga de si el intercambio enviado por un cliente tiene el formato correcto. Esto permite a un atacante descifrar las sesiones SSL/TLS previas o suplantar el servidor.
CVE: CVE-2017-6168
Factor de Riesgo: Medio
Valor CVSS Base: 4.3
Solución: En caso de que haya una aplicación entregada por un tercero, se le debe solicitar a este que entregue un parche para mitigar esta vulnerabilidad.
En caso de que sea una aplicación de desarrollo interno, se debe realizar la siguiente configuración:
Sistemas Windows: Descargar y ejecutar el script de PowerShell que se encuentra en el siguiente enlace:
https://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12
Luego de ejecutarlo, mostrara un resultado similar a este:
Se debe buscar y eliminar esta llave del registro de Windows y reiniciar el servidor para que el cambio surta efecto.
Fabricantes afectados:
En caso de contar con productos de los siguientes fabricantes, se deben aplicar las recomendaciones de cada uno de ellos s
F5 | BIG-IP SSL vulnerability | CVE-2017-6168 |
Citrix | TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway | CVE-2017-17382 |
Radware | Security Advisory: Adaptive chosen-ciphertext attack vulnerability | CVE-2017-17427 |
Cisco ACE | Bleichenbacher Attack on TLS Affecting Cisco Products, End-of-Sale and End-of-Life | CVE-2017-17428 |
Cisco ASA | Bleichenbacher Attack on TLS Affecting Cisco Products | CVE-2017-12373 |
Bouncy Castle | Fix in 1.59 beta 9, Patch / Commit | CVE-2017-13098 |
Erlang | OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7 | CVE-2017-1000385 |
WolfSSL | Github PR / patch | CVE-2017-13099 |
Palo Alto Networks | PAN-OS exposure to ROBOT attack (unfixed) | – |
IBM Domino | Twitter source (Dirk Wetter) (unfixed) | – |
MatrixSSL | Changes in 3.8.3 | CVE-2016-6883 |
Java / JSSE | Oracle Critical Patch Update Advisory – October 2012 | CVE-2012-5081 |
Fuentes:
No Comment
You can post first response comment.