Se hace pública vulnerabilidad 'Man-in-the-middle' en la renegociación TLS

TLS 1.0+ y SSL 3.0+  (conocido entre otros "https") es vulnerable a una debilidad de protocolo que puede aprovechar un ataque de hombre en el medio (MiTM) durante la fase de renegociación en las versiones modernas del protocolo.

Si bien los detalles fueron ofrecidos en una reunión con el IETF (Fuerza de Tareas de Ingeniería de Internet), proveedores e implementadores de SSL open source, parece que se una lista de correo de IETF llegpo nuevamente a conocerlo. Eso parece haber impulsado a los descubridores originales (Marsh Ray y Steve Dispensa) a ofrecer públicamente su hallazgo.

Los medios masívos obviamente están con esto por todas partes.

Algunos enlaces aparte de los medios de comunicación usuales:

• La descripción original (el sitio está sufriendo muchas visitas al haber escrito esto)
• El resúmen del grupo de trabajo TLS del IETF TLS, y promesas de un protocolo corregido

Parece no haber mucho que uno pueda hacer hasta que se arregle el protocolo. El problema principal parece ser con los clientes que usan autentificación con certificados.
 La explotación requiere que el atacante sea capaz de interceptar el tráfico.


Gracias a to Martin, Edward, Ken y Chris por enviarnos esto.

Autor: Swa FrantzenFuente: ISC SANS