Применимость: Linux
Слова для поиска:
Исследователи безопасности из компании Google сообщили о новом виде атаки POODLE (CVE-2014-3566), которая позволяет атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies, которые могут содержать идентификаторы сеанса и коды доступа, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0.
Для защиты на стороне вебсервера можно отключить использование уязвимых протоколов соответствующими опциями:
ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable" ssl.cipher-list = "HIGH:MEDIUM:!ADH"
ssl_protocols TLSv1; ssl_ciphers HIGH:MEDIUM:!ADH; ssl_prefer_server_ciphers on;
SSLProtocol all -SSLv3 -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:+SHA1:+MD5:+HIGH:+MEDIUM
Для проверки доступности SSLv3 выполните команду:
openssl s_client -connect <server>:<port> -ssl3
Например:
openssl s_client -connect www.colobridge.net:443 -ssl3
Если вы закрыли протокол, то в ответе будет строка похожая на это:
140175905318560:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
Еще один вариант проверки:
проверка
nmap --script ssl-enum-ciphers -p 443 www.colobridge.net Starting Nmap 6.40 ( http://nmap.org ) at 2014-10-17 16:24 FET Nmap scan report for www.colobridge.net (77.72.128.144) Host is up (0.035s latency). PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | SSLv3: No supported ciphers found | TLSv1.0: | ciphers: | TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_DHE_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_256_CBC_SHA - strong | TLS_RSA_WITH_RC4_128_MD5 - strong | TLS_RSA_WITH_RC4_128_SHA - strong | compressors: | NULL |_ least strength: strong
Обратите внимание - в ответе не должно быть строк со значением weak, например:
TLS_DHE_RSA_WITH_DES_CBC_SHA - weak
Актуальность: 2014/10/17 15:08