Vulnerabilidad en els protocols SSL y TLS
03/06/2026
CVE-2009-3555
CRÍTIC (9,8)
CVSS3: 0,0
El protocol TLS i el protocol SSL v3.0 i possiblement versions anteriors, tal com s’usa a Microsoft Internet Information Services (IIS) v7.0, mod_ssl al servidor HTTP Apache v2.2.14 i anteriors, OpenSSL abans de v0.9.8l, GnuTLS v2.8.5 i anteriors, Mozilla anteriors, i altres productes, no associa apropiadament la renegociació del Handshake SSL en una connexió existent, cosa que permet atacs man-in-the-middle en què l’atacant insereix dades en sessions HTTPS, i possiblement un altre tipus de sessions protegides per SSL o TLS, enviant una petició d’autenticació que és processada retroactivament. Es tracta d’un atac d’«injecció de text pla», també conegut com el problema del «Projecte Mogul».
Sistemes Afectats
- Apache Http Server
- Gnu Gnutls
- Mozilla Nss
- Openssl Openssl
- Openssl Openssl 1.0
- Canonical Ubuntu Linux 8.04
- Canonical Ubuntu Linux 8.10
- Canonical Ubuntu Linux 9.04
- Canonical Ubuntu Linux 9.10
- Canonical Ubuntu Linux 10.04
- Canonical Ubuntu Linux 10.10
- Debian Debian Linux 4.0
- Debian Debian Linux 5.0
- Debian Debian Linux 6.0
- Debian Debian Linux 7.0
- Debian Debian Linux 8.0
- Fedoraproject Fedora 11
- Fedoraproject Fedora 12
- Fedoraproject Fedora 13
- Fedoraproject Fedora 14
- F5 Nginx
Remediació
Vegeu-ne les Referències.
