BLOG | NGINX

La vulnerabilidad DROWN CVE-2016-0800 en OpenSSL no afecta a la mayoría de los usuarios de NGINX

NGINX - Parte de F5 - horizontal, negro, tipo RGB
Miniatura de Faisal Memon
Faisal Memon
Publicado el 2 de marzo de 2016

Recientemente se anunció una nueva vulnerabilidad de OpenSSL ( CVE-2016-0800 ), llamada DROWN. Afecta a versiones anteriores de varias tecnologías de servidor ampliamente utilizadas:

  • SSLv2, una versión antigua del protocolo Secure Sockets Layer. La mayoría de los sitios web más actualizados no utilizan Secure Sockets Layer (SSL) en absoluto, sino que han pasado a Transport Layer Security (TLS).
  • IIS v7, una versión anterior de Microsoft Internet Information Services
  • NSS 3.13 (Servicios de seguridad de red), una biblioteca criptográfica ampliamente utilizada

La vulnerabilidad DROWN se describe en un sitio web dedicado, The DROWN Attack . DROWN significa descifrado de RSA con cifrado obsoleto y debilitado , y hace que los sitios web vulnerables sean susceptibles a ataques del tipo "man-in-the-middle".

DROWN es inusual ya que no requiere que un sitio use activamente SSLv2 u otros protocolos vulnerables. Un sitio es vulnerable si admite uno de los protocolos vulnerables o comparte una clave privada con cualquier otro servidor que permita conexiones SSLv2.

Tanto NGINX Open Source como NGINX Plus admiten SSLv2, pero está desactivado de forma predeterminada en todas las versiones desde NGINX 0.8.19 (lanzada en octubre de 2009). Sólo los usuarios que hayan activado explícitamente SSLv2, o utilicen una versión de NGINX anterior a la 0.8.19, o compartan una clave privada con otro servidor que permita conexiones SSLv2, son vulnerables a este ataque.

Los propietarios de sitios deben verificar si la configuración de su sitio web admite SSLv2 y deshabilitarlo si es así. Con NGINX y NGINX Plus, el uso de los protocolos SSL y TLS está controlado por la directiva de configuración ssl_protocols . Para habilitar solo TLS reciente y deshabilitar SSL v2 y SSL v3, utilice la siguiente sintaxis:

protocolos_ssl TLSv1 TLSv1.1 TLSv1.2;

Consulte la documentación de referencia sobre la compatibilidad de SSL/TLS con NGINX .

Para obtener más información sobre el ataque DROWN y NGINX Open Source, envíe un correo electrónico a nginx@nginx.org . También puedes suscribirte a las listas de correo .

Los usuarios de NGINX Plus pueden ponerse en contacto con el soporte de NGINX.

Visite los siguientes sitios para obtener más información:

Si está actualizando su configuración de NGINX o si busca mejorar el rendimiento de la aplicação para su sitio web seguro, considere actualizar a HTTP/2. Puede obtener más información sobre los beneficios en nuestra reciente publicación del blog HTTP/2 y en el documento técnico HTTP/2 .

Imagen cortesía de The Drown Attack .

Leer más publicaciones de blog sobre F5 NGINX ›

"Esta publicación de blog puede hacer referencia a productos que ya no están disponibles o que ya no reciben soporte. Para obtener la información más actualizada sobre los productos y soluciones F5 NGINX disponibles, explore nuestra familia de productos NGINX . NGINX ahora es parte de F5. Todos los enlaces anteriores de NGINX.com redirigirán a contenido similar de NGINX en F5.com.