Mbed TLS ha anunciado
varias vulnerabilidades que permitirán a un atacante la recuperación remota de
texto plano cuando se utiliza un cifrado basado en CBC, catalogadas de Importancia:
4 - Alta
Recursos afectados:
·
Mbed
TLS versiones 1.2 y superiores, y versiones 2.1, 2.7 y superiores.
Recomendación
Se recomienda
actualizar a las versiones 2.12.0, 2.7.5 o 2.1.14 o posterior.
Detalle de vulnerabilidades
Cuando se utiliza un
cifrado basado en CBC es posible que un atacante remoto recupere parcialmente
un texto sin formato. Para ello el atacante deberá poder capturar e inyectar
tráfico de red, y en el caso de utilización de TLS generar múltiples sesiones
con el mismo texto, para DTLS con una sesión sería suficiente.
Es posible recuperar
parcialmente el texto sin formato de los mensajes que aprovechan los canales
laterales de temporización o de caché. Se han asignado a estas vulnerabilidades
los identificadores CVE-2018-0497 y CVE-2018-0498.
Más información
- Mbed TLS Security Advisory 2018-02 https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2018-02
Fuente: INCIBE