CVE-2014-3566 – SSLv3 Protocol Flaw

16 Ottobre 2014 Francesco Lascia un commento Vai ai commenti

Il 2014 non è stato un anno positivo per la sicurezza! Dopo Heartbleed e Shellshock, ecco arrivare una nuova vulnerabilità chiamata POODLE, questa volta sul protocollo SSL versione 3. Purtroppo questa vulnerabilità che espone al rischi di attacchi “Man in the middle” impatta praticamente qualsiasi device utilizzi questo protocollo, incluso il Citrix NetScaler.

Citrix ha prontamente rilasciato un bollettino di sicurezza relativo a questa vulnerabilità, evidenziando anche alcuni elementi che mitigano la gravità del problema. In particolare:

  • Per poter sfruttare questa vulnerabilità è necessario posizionarsi in mezzo al traffico
  • Un attacco tipico richiederebbe di generare una quantità relativamente grande di traffico per riuscire a recuperare pochi dati dal canale cifrato
  • Le installazioni FIPS compliant non dovrebbero essere affette perché il protocollo SSLv3 dovrebbe essere disattivo

In generale per chiudere la vulnerabilità la soluzione è relativamente semplice: basta in effetti disabilitare il protocollo SSLv3 e permettere ai client di negoziare in TLS.

L’analisi del problema è ancora in corso e non è da escludere che nei prossimi giorni il documento venga aggiornato inserendo anche altri prodotti Citrix affetti da questa vulnerabilità.

Per ulteriori informazioni:

  1. Nessun commento ancora...
  1. Nessun trackback ancora...