Colobridge WIKI
1 месяц в облаке бесплатно
Оплатите 1 квартал и получите еще 1 месяц бесплатно. Только для новых клиентов.
Посмотреть больше
Экономия до 24% при предоплате облака
Скидка 7% на размещение в облаке при предоплате на 6 месяцев, 12% — на 1 год, 24% — на 2 года
Посмотреть больше
Скидки до 24% на Dedicated!
Выделенный сервер со скидкой при предоплате:
6 мес. — 7%, 12 мес. — 12%, 24 мес. — 24%
Посмотреть больше
1 ТБ на бэкапы в Dedicated!
Новым клиентам — 1 ТБ под бэкап в облаке Colobridge при аренде Dedicated на 3 месяца
Посмотреть больше

блокирование уязвимости sslv3

Применимость: Linux

Слова для поиска:

Задача:

Исследователи безопасности из компании Google сообщили о новом виде атаки POODLE (CVE-2014-3566), которая позволяет атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0.

http://www.opennet.ru/opennews/art.shtml?num=40833

Решение:

Для защиты на стороне вебсервера можно отключить использование уязвимых протоколов соответствующими опциями:

Lighttpd:

ssl.use-sslv2              = "disable"
ssl.use-sslv3              = "disable"
ssl.cipher-list            = "HIGH:MEDIUM:!ADH"

Nginx:

ssl_protocols TLSv1;
ssl_ciphers HIGH:MEDIUM:!ADH;
ssl_prefer_server_ciphers on;

Apache:

SSLProtocol all -SSLv3 -SSLv2
SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM

Проверка

Для проверки доступности SSLv3 выполните команду: 

openssl s_client -connect <server>:<port> -ssl3

Например: 

openssl s_client -connect www.colobridge.net:443 -ssl3

Если вы закрыли протокол, то в ответе будет строка похожая на это: 

140175905318560:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40

Еще один вариант проверки:

проверка

nmap --script ssl-enum-ciphers -p 443 www.colobridge.net
Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-17 16:24 FET
Nmap scan report for www.colobridge.net (77.72.128.144)
Host is up (0.035s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers: 
|   SSLv3: No supported ciphers found
|   TLSv1.0: 
|     ciphers: 
|       TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_RC4_128_MD5 - strong
|       TLS_RSA_WITH_RC4_128_SHA - strong
|     compressors: 
|       NULL
|_  least strength: strong

Обратите внимание - в ответе не должно быть строк со значением weak, например: 

TLS_DHE_RSA_WITH_DES_CBC_SHA - weak

Смотрите также:

Актуальность: 2014/10/17 15:08

,