Poodle SSLv3 уязвимост и как да се защитим?

Помощен център

Poodle SSLv3 уязвимост и как да се защитим?

Какво e Poodle? И как да се предпазим от последната уязвимост в SSL?

Poodle е уязвимост в SSLv3, позволяваща достъпването и разшифроването на криптираната информация, пренасяна с помоща на SSL.

Уязвими са всички услуги и софтуер, имащи механизъм, позволяващ да се използва SSLv3 за съвместимост - уеб сървъри, имейл сървъри, както и клиентски браузъри.

За да се предпазим е необходимо да вземем мерки с които да защитим както нашия браузър, така и услугите, които предлагаме. За да сме убедени, че няма да станем жертва на Poodle уязвимостта, е добре да се подсигурим, че нито една от страните не поддържа SSLv3 като възможност за комуникация.

Може да предприемете следните мерки, за да подсигурите Вашия уеб сървър (било то Apache или Nginx):

За Apache Web Server:

Ако използвате CentOS:

  • Отваряте конфигурационния файл за SSL:
vi /etc/httpd/conf.d/ssl.conf
  • Променяте реда, започващ с SSLProtocol да изглежда по следния начин:
SSLProtocol all -SSLv2 -SSLv3
  • Рестартирате Apache:
service httpd restart

*Ако ползвате Debian:*

  • Отивате в конфигурационния файл на SSL:
vi /etc/apache2/mods-available/ssl.conf
  • Променяте реда, започващ с SSLProtocol да изглежда по следния начин:
SSLProtocol all -SSLv2 -SSLv3
  • Рестартирате Apache:
service apache2 restart

За Nginx Web Server:

  • Отваряте конфигурационния файл на nginx (за глобална промяна):
vi /etc/nginx/nginx.conf
  • Добавяте в server секцията на конфигурацията:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  • Рестартирате Nginx:
service nginx restart

За да проверите дали сте уязвими може да използвате openssl инструмента, наличен в Linux/Unix по следния начин:

openssl s_client -connect вашия.домейн.ком:443 -ssl3

Ако успешно се свържете с хоста чрез ssl, значи сте уязвими.

A ако получите съобщение подобно на следното:

17039:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52/src/ssl/s3_pkt.c:1125:SSL alert number 40
17039:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/SourceCache/OpenSSL098/OpenSSL098-52/src/ssl/s3_pkt.c:546:

значи SSLv3 е забранен за използване.

Сигурността е постоянен процес - всекидневно се откриват пробиви и уязвимости в онлайн системите и трябва да се реагира своевременно - особено, когато става дума за клиентска информация. Всеки предоставящ услуга трябва да може да я защити или да се довери на утвърдена хостинг компания, която ще го направи вместо него.