SSL versión 3 ya no es seguro. Recientemente, una nueva vulnerabilidad en el protocolo SSL v3 llamada 'Ataque canichefue descubierto por la gente de Google. En Couchbase, como nos tomamos muy en serio la seguridad de nuestros productos, queríamos que conocieras el riesgo que supone la vulnerabilidad y las medidas que debes tomar.
¿A qué se debe este fallo?
En ataque caniche es un problema en el esquema de cifrado CBC del protocolo SSL 3. Aunque muchos sistemas utilizan ahora TLS (el sucesor de SSL), el ataque caniche surge normalmente cuando los clientes reducen su protocolo criptográfico a SSL 3.0.
Evaluación de impacto para el servidor y los clientes de Couchbase
El gestor de clústeres de Couchbase está escrito en Erlang. La implementación de SSL en Erlang (usada para la replicación XDCR) no implementa el downgrade de versión (lo que lo hace seguro frente a poodle), pero sigue sin deshabilitar SSL 3. Por esta razón, Couchbase 3.0.1 deshabilitará SSLv3 para la gestión, vistas y puertos memcached. El código para deshabilitarlo ya está en la nightly build, pero todavía estamos trabajando en ello y la build tendrá que pasar nuestras puertas de calidad antes de ser lanzada oficialmente.
Ahora es un buen momento para pensar en cómo va a actualizar sus aplicaciones cliente front-end y otros componentes de infraestructura que todavía dependen de SSL v3. Para los clientes libcouchbase (y SDKs que dependen de libcouchbase, como Ruby, PHP y Python), la actualización a libcouchbase 2.4.3 garantizará que sólo se utilice el protocolo TLSv1 y superiores. Java 2.0 utiliza TLS por defecto cuando habla con el servidor y el cliente 2.0 .NET GA utilizará TLS por defecto.
Para nuestros productos móviles, Couchbase Lite y Sync Gateway -
-
Couchbase Lite para iOS 1.0.3 ya ha desactivado SSLv3
-
Sync Gateway desactivará SSL en la versión 1.0.3, y
-
Java/Android y C#/.NET desactivarán SSL en la versión 1.0.4
Asegurar la pila
Para asegurar toda tu pila, aquí tienes otras cosas que quizá también quieras comprobar -
Típicamente, las implementaciones SSL están presentes en servidores proxy de terceros como Apache, nginx y HAProxy. Si tu Couchbase Server está detrás de un servidor de este tipo que usa SSL v3, deberías parchear en consecuencia tus servidores y reiniciar estos servicios. Para una guía detallada de como tratar con poodle en diferentes servidores y navegadores, dirigirse a Entrada del blog de Scott Helme.
Si está ejecutando Couchbase en Amazon EC2, es posible que desee comprobar el último aviso de seguridad de Amazon. aquí.
¿Necesita más información sobre el bicho caniche?
-
Documento de aviso de seguridad de Google sobre el "ataque Poodle" -
https://www.openssl.org/~bodo/ssl-poodle.pdf -
Algunas preguntas formuladas por los usuarios de la comunidad Erlang - http://erlang.org/pipermail/erlang-questions/2014-October/081315.html
Gracias por su continuo apoyo y ¡manténgase a salvo!
