blog

Si tienes instalada la versión de Oracle Virtual Machine 3.3.x y estás usando Firefox y/o Chrome para cargar la Consola de Administración, habrás notado que no es posible cargar la URL, desde principios de Febrero, sin que aparezcan los siguientes errores (en Firefox puede generarse este mismo error desde la versión OVM 3.2.1 en adelante):

En Chrome:

En Firefox:

OVM Console GUI usa criptografía RC4 y este tipo de encriptación ha dejado de estar soportada por completo por chrome y firefox en sus últimas versiones (48 y 44 respectivamente). Esta característica permitía ataques POODLE generando vulnerabilidad en los sistemas. La consola de OVM no cargará debidamente si se sigue usando estos navegadores. El problema se solucionará en las versiones 3.3.4 y 3.4 de OVM, que están por salir, con un cifrado más robusto que el actual.

Para poder usar Firefox hay workaround en el lado del cliente:

• abount:config –> añadir IP del ovm console en security.tls.insecure_fallback_hosts

También se puede seleccionar la opción de cargar el enlace usando la seguridad obsoleta, en el menú desplegable Advance, para seguir utilizándolo (no recomendable).

En el caso de Chrome es necesario modificar el fichero de configuración de Weblogic Server xml.config y añadir la línea:

• <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>

Tras esta modificación es necesario reiniciar el servicio ovmm.

En caso de usar indistintamente Firefox y Chrome, el arreglo que se realiza para Chrome también es efectivo para Firefox sin tener que modificar ningún tipo de configuración.

Cabe destacar que existe una actualización del software para eliminar esta vulnerabilidad, desde la versión 3.2, ver la nota de MOS: ALERT – Mitigating the SSLv3 “POODLE” Vulnerability in Oracle VM (CVE-2014-3566) (Doc ID 1940203.1)