web-gelistirme-sc.com

SSL3 "POODLE" Güvenlik Açığı

SSL v3'te yakın zamanda açıklanan dolgu Oracle güvenlik açığıyla ilgili kanonik soru. Diğer aynı veya önemli ölçüde benzer sorular bunun bir kopyası olarak kapatılmalıdır.

  • POODLE güvenlik açığı nedir?
  • [product/browser] kullanıyorum. Etkilendim mi?
  • [product] POODLE saldırısına karşı savunmasız mı?
  • Bu güvenlik açığıyla ilgili [product] güvenliğimi güvence altına almak için ne yapmam gerekir?
  • Ağımdaki POODLE saldırılarını nasıl tespit edebilirim?
  • Bilinen herhangi bir POODLE saldırısı var mı?

Referanslar:

tlsattacksopensslknown-vulnerabilitiesvulnerability
244
tylerl

SSL v3.0 desteğini devre dışı bırakmak için:

Müşterilerde:

Mozilla Firefox

Ya

Veya

  • Gezinme çubuğuna about:config Yazın ve [Enter] Tuşuna basın
  • Uyarıyı kabul edin ve devam edin
  • tls için arama yap
  • security.tls.version.min Değerini 0 Yerine 1 Olarak değiştirin (0 = SSL 3.0; 1 = 1.0 TL)

Chrome

  • Chrome komutunu aşağıdaki komut satırı işaretiyle çalıştırın: --ssl-version-min=tls1

Internet Explorer

  • Ayarlar -> İnternet Seçenekleri -> Gelişmiş Sekmesi -> "Güvenlik" altında "SSLv3" seçeneğinin işaretini kaldırın.

Web Sunucularında:

Apache v2

  • SSL yapılandırma dosyanıza aşağıdaki satırı ekleyin veya okumak için mevcut satırı düzenleyin: SSLProtocol All -SSLv2 -SSLv3
  • Web sunucusunu Sudo Apache2ctl restart İle yeniden başlatın

Zeus Web Sunucusu

(%ZEUSHOME Yükleme konumudur, genellikle /usr/local/zeus)

  • Zeus Web Sunucusu 4.3r5'e yükseltme
  • Aşağıdaki satırı %ZEUSHOME%/web/global.cfg Öğesine ekleyin: tuning!ssl3_allow_rehandshake never
  • Web sunucusunu Sudo %ZEUSHOME%/restart-zeus İle yeniden başlatın

Referanslar:

  1. "SSLv3'e POODLE Saldırıları", ImperialViolet, ImperialViolet - SSLv3'e POODLE saldırıları

  2. "SSLv3 POODLE Güvenlik Açığı Resmi Sürümü", InfoSec İşleyicileri Günlüğü Blogu,> İnternet Fırtına Merkezi - İnternet Güvenliği | SANS ISC

35
Jock Busuttil

En yaygın okçularda ve sunucu platformlarında SSLv3'ü nasıl devre dışı bırakabileceğim konusunda bir blog yayınladım ( https://scotthelme.co.uk/sslv3-goes-to-the-dogs-poodle-kills- dışı protokol / ). Bu, en azından POODLE'un bir istemci veya sunucu olarak nasıl tamamen azaltılacağı sorusunu cevaplamaya yardımcı olmalıdır.

Aşağıda kilit ayrıntılar verilmiştir.

Sunucunuz nasıl korunur?

POODLE için en kolay ve en sağlam çözüm, sunucunuzda SSLv3 desteğini devre dışı bırakmaktır. Bu beraberinde birkaç uyarı getiriyor. Web trafiği için, SSLv3 dışında bir şeyle bağlantı kuramayacak bazı eski sistemler var. Örneğin, IE6 ve Windows kullanan sistemler XP kurulumlar, artık SSLv3 kullanan bir siteyle iletişim kuramayacak. CloudFlare tarafından yayınlanan ve SSLv3'ü tamamen devre dışı bırakan rakamlara göre tüm müşteri mülkünde, web trafiğinin yalnızca küçük bir kısmı Windows'un% 98,88'i kadar etkilenecektir XP kullanıcılar TLSv1.0 veya üstü ile bağlantı kuruyor.

Apaçi

Apache sunucunuzda SSLv3'ü devre dışı bırakmak için, SSL yapılandırması bölümünde ve tüm SSL etkin sanal ana makineler açıkça aşağıdakileri kullanarak yapılandırabilirsiniz:

SSLProtocol All -SSLv2 -SSLv3

Bu size TLSv1.0, TLSv1.1 ve TLSv1.2 için destek sağlayacaktır, ancak SSLv2 ve SSLv3 desteğini açıkça kaldırır. Yapılandırmayı kontrol edin ve ardından Apache'yi yeniden başlatın.

apachectl configtest

Sudo service Apache2 restart

Nginx

NginX'te SSLv3 desteğini devre dışı bırakmak da gerçekten kolaydır.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Yukarıdaki Apache yapılandırmasına benzer şekilde, TLSv1.0 + desteği alırsınız ve SSL almazsınız. Yapılandırmayı kontrol edebilir ve yeniden başlatabilirsiniz.

Sudo nginx -t

Sudo service nginx restart

IIS

Bu bir kayıt defteri tweaks ve bir sunucu yeniden önyükleme gerektirir ama yine de o kadar da kötü değil. Microsoft'un gerekli bilgileri içeren bir destek makalesi vardır, ancak tek yapmanız gereken bir kayıt defteri DWORD değerini değiştirmek/oluşturmaktır.

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protokolleri

Protokollerde büyük olasılıkla zaten bir SSL 2.0 anahtarınız olacaktır, bu nedenle gerekirse SSL 3.0 oluşturun. Bunun altında bir Sunucu anahtarı oluşturun ve içinde 0 değeriyle Etkin adında bir DWORD değeri oluşturun. Bu işlemi yaptıktan sonra değişikliklerin etkili olması için sunucuyu yeniden başlatın.

IIS Settings

Sunucunuzu kontrol etme

SSL kurulumunuzla ilgili herhangi bir şeyi test etmek için en kolay ve muhtemelen en yaygın olarak kullanılan yöntem Qualys SSL Test . Sadece siteye gidin, test etmek istediğiniz web sitesinin alan adını girin ve testi başlatmak için gönder düğmesine basın.

Qualys Check Domain

Test bittikten sonra, sonuçlarınızın güzel bir özetini ve daha ayrıntılı bilgileri sayfadan edinebilirsiniz. Özellikle, desteklenen protokollerinizin Yapılandırma bölümüne bakmak istersiniz.

Check protocols

Burada görmek istediğiniz şey, desteklenen hiçbir SSL protokolünüz olmamasıdır. SSLv2.0'ı uzun zamandır devre dışı bırakmış olmalısınız ve şimdi SSLv3.0'ı da yeni kaldırdık. TLSv1.0 veya daha iyisini desteklemek, kimseyi gereksiz riske maruz bırakmadan internet kullanıcılarının mutlak çoğunluğunu destekleyecek kadar iyidir.

Tarayıcınız nasıl korunur?

Tarayıcınızda SSLv3 desteğini devre dışı bırakarak kendinizi POODLE'dan korumak da mümkündür. Bu, sunucu SSLv3 desteği sunsa bile, tarayıcınızın protokol düşürme saldırısı sırasında bile asla kullanmayacağı anlamına gelir.

Firefox

Firefox kullanıcıları adres çubuklarına about: config ve ardından arama kutusuna security.tls.version.min yazabilirler. Bu, 0'dan 1'e değiştirilmesi gereken ayarı getirecektir. Mevcut ayar, Firefox'un kullanılabilir olduğu yerde ve gerekiyorsa SSLv3 kullanmasına izin verir. Ayarı değiştirdiğinizde Firefox'u POODLE'a karşı savunmasız olmayan sadece TLSv1.0 veya daha iyisini kullanmaya zorlayacaksınız.

Firefox Settings

Chrome

Chrome kullanıcılarının GUI'de SSLv3'ü devre dışı bırakma seçeneği yoktur, çünkü Google, SSLv3 veya TLSv1'in daha yüksek sayısal değere sahip biriyle daha iyi olup olmadığı konusunda karışıklık nedeniyle kaldırmıştır. Bunun yerine TLS kullanımını zorlamak ve SSL protokolünü kullanarak herhangi bir bağlantıyı önlemek için --ssl-version-min = tls1 komut satırı bayrağını ekleyebilirsiniz. Windows'da Chrome kısayolunuzu sağ tıklayın, Özellikler 'i tıklayın ve aşağıdaki resimde görüldüğü gibi komut satırı bayrağını ekleyin.

Chrome Settings

Google Chrome, Chrome OS veya Android) kullanıyorsanız bu talimatları uygulayabilirsiniz burada .

Internet Explorer

Internet Explorer'ı düzeltmek de oldukça kolaydır. Ayarlar, İnternet Seçenekleri'ne gidin ve Gelişmiş sekmesine tıklayın. SSL 3.0 Kullan onay kutusunu görene kadar aşağı kaydırın ve işaretini kaldırın.

IE Settings

Tarayıcınızı kontrol etme

Tarayıcı değişikliklerinizin SSLv3.0 desteğini kesinlikle kaldırdığını kontrol etmek istiyorsanız, kullanabileceğiniz birkaç site var. Tarayıcınızda SSLv3 etkinken https://zmap.io/sslv3/ adresini ziyaret ederseniz, buraya geldiğim uyarı mesajını Chrome burada göreceksiniz) SSLv3'ü henüz devre dışı bırakmadım. Sitenin beklendiği gibi çalışıp çalışmadığını bir kez daha kontrol etmek için, Internet Explorer'da SSLv3 desteğini devre dışı bıraktım ve siteyi de açtım. Burada farkı görebilirsiniz.

Chrome and IE test

Ayrıca Zmap'in yanında https://www.poodletest.com/ adresini de deneyebilirsiniz.

32
Scott Helme

Sitenizin adını bu diğer web sitelerine vermek istemiyorsanız, aşağıdakilerle de test edebilirsiniz ...

openssl s_client -ssl3 -Host <your Host name> -port 443

Bağlanmazsa, sorun değil.

Ancak, openssl'inizin sitenizle düzgün çalıştığından da emin olun ...

openssl s_client -Host <your Host name> -port 443

Sslv3 devre dışı bırakıldığında IE6 ve Windows XP SP2 ve altı) devre dışı bırakılır.

3
niknah