layout: news_post

title: "Cambio en las configuraciones por defecto de ext/openssl"

author: "usa"

translator: "David Padilla"

date: 2014-10-27 12:00:00 +0000

tags: security

lang: es

En Ruby 2.1.4, Ruby 2.0.0-p594 y Ruby 1.9.3-p550 cambiamos la configuración

por defecto de ext/openssl.

Con este cambio las opciones inseguras de SSL/TLS ahora están desabilitadas,

y por esto puede darse la posibilidad de tener problemas con las conexiones

de SSL.

OpenSSL implementa protocolos y cifrados que son considerados inseguros al dia

de hoy por circunstancias históricas. Un ejemplo es la vulnerabilidad POODLE

([CVE-2014-3566](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566)),

utilizar OpenSSL con este tipo de vulnerabilidades no garantiza la seguridad

de la comunicación en tu red.

Basados en la discusión del [Bug #9424](https://bugs.ruby-lang.org/issues/9424),

hemos decidido deshabilitar esas opciones inseguras de SSL/TLS por defecto.

Si necesitas cancelar este cambio (mostrado abajo) aplica el parche

inverso para revertirlo.

2.1.4

: [r48098](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48098&view=revision)

2.0.0-p594

: [r48110](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48110&view=revision)

1.9.3-p550

: [r48121](http://svn.ruby-lang.org/cgi-bin/viewvc.cgi?revision=48121&view=revision)

Pero recuerda, si cancelas este cambio corres el riesgo de comprometer la seguridad

de la comunicación en tu red.

Este cambio se refleja en net/http, net/imap y net/pop.

Debido a que DRb y WEBrick reciben la configuración por separado, este cambio no

los afecta.

Este cambio se refleja cuando un objeto `OpenSSL::SSL::SSLContext` es instanciado

y se llama al método `set_params` de esa instacia.

En particular código como:

{% highlight ruby %}

ctx = OpenSSL::SSL::SSLContext.new

ctx.set_params # Si quieres cambiar algunas opciones como el modo de verificacion, el almacenamiento del certificado, puedes enviar esos parametros en un hash

ssl = OpenSSL::SSL::SSLSocket.new(socket, ctx)

{% endhighlight %}

Si utilizas ext/openssl como cliente, asumimos que no debe haber

problema con este cambio.

Pero si utilizas ext/openssl como servidor y aplicas este cambio, es posible

que algunos clientes viejos (Internet Explorer 6 en Windows XP, navegadores

en teléfonos celulares viejos, etc.) no puedan conectarse al servidor.

La decisión de habilitar o no este cambio es tuya, considera las consecuencias.

Si por alguna razón no puedes actualizar Ruby pero tienes que manejar las

opciones inseguras de SSL/TLS, aplica a tu código el siguiente parche:

{% highlight ruby %}

module OpenSSL

module SSL

class SSLContext

remove_const(:DEFAULT_PARAMS)

DEFAULT_PARAMS = {

:ssl_version => "SSLv23",

:verify_mode => OpenSSL::SSL::VERIFY_PEER,

:ciphers => %w{

ECDHE-ECDSA-AES128-GCM-SHA256

ECDHE-RSA-AES128-GCM-SHA256

ECDHE-ECDSA-AES256-GCM-SHA384

ECDHE-RSA-AES256-GCM-SHA384

DHE-RSA-AES128-GCM-SHA256

DHE-DSS-AES128-GCM-SHA256

DHE-RSA-AES256-GCM-SHA384

DHE-DSS-AES256-GCM-SHA384

ECDHE-ECDSA-AES128-SHA256

ECDHE-RSA-AES128-SHA256

ECDHE-ECDSA-AES128-SHA

ECDHE-RSA-AES128-SHA

ECDHE-ECDSA-AES256-SHA384

ECDHE-RSA-AES256-SHA384

ECDHE-ECDSA-AES256-SHA

ECDHE-RSA-AES256-SHA

DHE-RSA-AES128-SHA256

DHE-RSA-AES256-SHA256

DHE-RSA-AES128-SHA

DHE-RSA-AES256-SHA

DHE-DSS-AES128-SHA256

DHE-DSS-AES256-SHA256

DHE-DSS-AES128-SHA

DHE-DSS-AES256-SHA

AES128-GCM-SHA256

AES256-GCM-SHA384

AES128-SHA256

AES256-SHA256

AES128-SHA

AES256-SHA

ECDHE-ECDSA-RC4-SHA

ECDHE-RSA-RC4-SHA

RC4-SHA

}.join(":"),

:options => -> {

opts = OpenSSL::SSL::OP_ALL

opts &= ~OpenSSL::SSL::OP_DONT_INSERT_EMPTY_FRAGMENTS if defined?(OpenSSL::SSL::OP_DONT_INSERT_EMPTY_FRAGMENTS)

opts |= OpenSSL::SSL::OP_NO_COMPRESSION if defined?(OpenSSL::SSL::OP_NO_COMPRESSION)

opts |= OpenSSL::SSL::OP_NO_SSLv2 if defined?(OpenSSL::SSL::OP_NO_SSLv2)

opts |= OpenSSL::SSL::OP_NO_SSLv3 if defined?(OpenSSL::SSL::OP_NO_SSLv3)

opts

}.call

}

end

end

end

{% endhighlight %}

* Ruby 1.9.3 patchlevel 550 y posteriores

* Ruby 2.0.0 patchlevel 594 y posteriores

* Ruby 2.1.4 y posteriores

* revisión 48097 y posteriores

* Publicado originalmente 2014-10-27 12:00:00 (UTC)

layout: news_post

title: "CVE-2014-8080: Negación de Servicio (DoS) por Expansión de XML"

author: "zzak"

translator: "David Padilla"

date: 2014-10-27 12:00:00 +0000

tags: security

lang: es

La expansión de entidades no restringidas puede causar una vulnerabilidad en

REXML. A esta vulnerabilidad se le ha asignado el identificador

[CVE-2014-8080](http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8080).

Nuestra recomendación es que actualices tu versión de Ruby lo antes posible.

Cuando se están leyendo nodos de texto en un documento XML, el intérprete REXML

puede ser forzado a colocar cadenas muy grandes lo que puede

consumir toda la memoria del servidor resultando en un ataque por negación

del servicio (DoS).

El código afectado puede verse algo así:

{% highlight ruby %}

require 'rexml/document'

xml = <<XML

<cd></cd>

XML

p REXML::Document.new(xml)

{% endhighlight %}

Todos los usuarios que utilizan una versión afectada deberían actualizar cuanto

antes o utilizar algunas de las soluciones alternas inmediatamente.

* Ruby 1.9.x todas las versiones anteriores a Ruby 1.9.3 patchlevel 550

* Ruby 2.0.x todas las versiones anteriores a Ruby 2.0.0 patchlevel 594

* Ruby 2.1.x todas las versiones anteriores a Ruby 2.1.4

* Todo lo anterior a la revisión 48161

Si por alguna razón no puedes actualizar Ruby, utiliza el siguiente parche como

solución alterna en versiones de Ruby 2.1.0+:

{% highlight ruby %}

class REXML::Entity

def value

if @value

matches = @value.scan(PEREFERENCE_RE)

rv = @value.clone

if @parent

sum = 0

matches.each do |entity_reference|

entity_value = @parent.entity( entity_reference[0] )

if sum + entity_value.bytesize > Security.entity_expansion_text_limit

raise "entity expansion has grown too large"

else

sum += entity_value.bytesize

end

rv.gsub!( /%#{entity_reference.join};/um, entity_value )

end

end

return rv

end

nil

end

end

{% endhighlight %}

Para versiones de Ruby anteriores a 2.1.0 puedes usar el siguiente parche:

{% highlight ruby %}

class REXML::Entity

def value

if @value

matches = @value.scan(PEREFERENCE_RE)

rv = @value.clone

if @parent

sum = 0

matches.each do |entity_reference|

entity_value = @parent.entity( entity_reference[0] )

if sum + entity_value.bytesize > Document.entity_expansion_text_limit

raise "entity expansion has grown too large"

else

sum += entity_value.bytesize

end

rv.gsub!( /%#{entity_reference.join};/um, entity_value )

end

end

return rv

end

nil

end

end

{% endhighlight %}

Agradecemos a Willis Vandevanter por reportar este problema.

* Publicado originalmente 2014-10-27 12:00:00 (UTC)