Web sitemin CVE-2014-3566'ya (POODLE) karşı savunmasız olup olmadığını nasıl anlarım?

14

Google , SSLv3 protokolünde aşağıdaki gibi bir güvenlik açığı açıkladı:

... güvenli bağlantıların düz metninin bir ağ saldırganı tarafından hesaplanmasını sağlar.

Bu güvenlik açığı CVE-2014-3566 adı ve POODLE pazarlama adı verilmiştir.

Https://www.example.com/ adresinde bir web sitem varsa, bu güvenlik açığının beni etkileyip etkilemediğini nasıl anlayabilirim?

security  https 
Jason Owen
kaynak

Yanıtlar:

17

SSLv3 Bozuldu

POODLE'ın ortaya çıkmasıyla SSLv3 tarafından kullanılan tüm şifre paketleri tehlikeye girmiştir ve protokolün tamir edilemez şekilde kırılmış olduğu düşünülmelidir.

Web siteleri

Web sitenizin SSLv3 üzerinden kullanılabilir olup olmadığını aşağıdakilerle kontrol edebilirsiniz curl(1):

curl -v -3 -X HEAD https://www.example.com

Bağımsız -vdeğişken ayrıntılı çıktıyı -3açar , kıvrılmayı SSLv3 kullanmaya zorlar ve -X HEADbaşarılı bir bağlantıda çıktıyı sınırlar.

Eğer savunmasız değilseniz, bağlanamamalısınız ve çıktınız şöyle görünmelidir:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Güvenlik açığından etkileniyorsanız, hat dahil normal bağlantı çıkışı görmelisiniz:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Diğer servisler

Sadece SSL üzerinden kullanılabilen web siteleri değil. Posta, irc ve LDAP güvenli bağlantılar aracılığıyla kullanılabilen üç hizmet örneğidir ve SSLv3 bağlantılarını kabul ettiklerinde POODLE'a benzer şekilde savunmasızdır.

SSLv3 kullanarak bir hizmete bağlanmak için şu komutu kullanabilirsiniz :openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

-connectArgümanı bir sürer hostname:port, parametre -ssl3argümanı SSLv3 için anlaşmalı protokol sürümlerini sınırlar ve içinde boru /dev/nulliçin STDINhemen açtıktan sonra bağlantıyı sonlandırır.

Başarılı bir şekilde bağlanırsanız, SSLv3 etkinleştirilir; eğer alırsanssl handshake failure değil.

Ayrıca bakınız

Security SE'de mükemmel bir soru ve cevap var: /security/70719/ssl3-poodle-vulnerability

Jason Owen
kaynak
O Bana açık değil curlbireyin -vbayrak bir argüman alır; yukarıda yazdıklarını teyit edebilir misin? Veya bunun belirli bir sürümünü gerektiriyorsa curl, bunu bilmek de yararlı olacaktır.
MadHatter
2
@MadHatter: Hayır, bu iki argüman -v ve -3 bir arada. Yine de "v3" gibi görünüyor.
Andrew Schulman
1
Teşekkürler, açıklama çok takdir! Hemen hemen her form SSL .*connection using .*_WITH_.*başarısızlığa eşittir?
MadHatter
@MadHatter karışıklık için özür dilerim, cevabı daha açık olacak şekilde güncelledim.
Jason Owen
2

Hızlı bir kontrol yapmak istiyorsanız, aşağıdaki URL'ye gidin. POODLE kontrolü de dahil olmak üzere her şeyi SSL ile takip etmek oldukça iyi bir iş çıkarıyor.

https://www.ssllabs.com/ssltest/

SVH
kaynak
1
Bağlantı yararlı bilgilere sahip olsa da, bağlantılar gelecekteki ziyaretçiler için işe yaramaz hale gelir. Bağlantıdan daha fazla bilgi eklemek bu cevabı geliştirebilir
Dave M
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.