Vulnerabilidad de renegociación TLS SSL: situación actual en los clientes

Navega tus respuestas
12

Leer sobre el problema de renegociación de SSL CVE-2009-3555 se sabe que los servidores que admiten el tipo antiguo de renegociación son vulnerables a la inyección de datos. También tenemos herramientas para probarlos ( openssl s_client y laboratorios de SSL de Qualsys ).

¿Pero cuál es la situación con los clientes? Después de revisar el sitio enlace utilizando algunos navegadores, parece que los únicos dos navegadores que han solucionado este problema son Firefox (desde 3.5.9 y 3.6). 2) y Opera (¿desde las 11.00 o 10.50?).

Los navegadores que aún son vulnerables según el sitio son:

  • Chrome 9.0.597.16
  • Chrome 12.0.742.124 (!)
  • Chrome 13.0.782.56 beta
  • Chrome 14.0.825.0 dev
  • Internet Explorer 9 (!)
  • Konqueror 4.6.3

¿Esta prueba es confiable? ¿O es la situación realmente tan sombría?

Editar: ¿Hay alguna forma de usar openssl s_server para probar la vulnerabilidad del cliente?

    
pregunta Hubert Kario 21.07.2011 - 01:27
fuente

1 respuesta

4

Todas las versiones actuales de los principales navegadores (IE / FF / Chrome) en realidad están parcheadas con la solución para una renegociación segura.

El sitio ssltls.de tiene algunos problemas que parece, ya que fui usando diferentes navegadores, diferentes conexiones de red y obtuve resultados inconsistentes. Wireshark muestra los navegadores que envían la extensión y el servidor respondiéndole, por lo que parece que la prueba se puede mejorar para detectar mejor la extensión.

    
respondido por el Nasko 21.07.2011 - 18:16
fuente

Lea otras preguntas en las etiquetas

Inicio de sesión de token y cierre de sesión ¿Qué sucede dentro de un Centro de Limpieza DDoS?