Come posso sapere se il mio sito Web è vulnerabile a CVE-2014-3566 (POODLE)?

14

Google ha annunciato una vulnerabilità nel protocollo SSLv3 che

... consente di calcolare il testo in chiaro delle connessioni sicure da un attaccante di rete.

Questa vulnerabilità ha ricevuto la designazione CVE-2014-3566 e il nome commerciale POODLE.

Se ho un sito Web all'indirizzo ` https://www.example.com/ , come posso sapere se questa vulnerabilità mi riguarda?

security  https 
Jason Owen
fonte

Risposte:

17

SSLv3 è rotto

Con l'avvento di POODLE, tutte le suite di crittografia utilizzate da SSLv3 sono state compromesse e il protocollo dovrebbe essere considerato irreparabilmente rotto.

siti web

Puoi verificare se il tuo sito Web è disponibile su SSLv3 con curl(1):

curl -v -3 -X HEAD https://www.example.com

L' -vargomento attiva l'output dettagliato, -3impone all'arricciatura di utilizzare SSLv3 e -X HEADlimita l'output su una connessione riuscita.

Se non sei vulnerabile, non dovresti essere in grado di connetterti e il tuo output dovrebbe essere simile al seguente:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Se sei vulnerabile, dovresti vedere un normale output di connessione, inclusa la linea:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Altri servizi

Non sono solo i siti Web disponibili su SSL. Mail, irc e LDAP sono tre esempi di servizi disponibili tramite connessioni protette e sono altrettanto vulnerabili a POODLE quando accettano connessioni SSLv3.

Per connettersi a un servizio tramite SSLv3, è possibile utilizzare il comando:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

L' -connectargomento accetta un hostname:portparametro, l' -ssl3argomento limita le versioni del protocollo negoziate a SSLv3 e il piping /dev/nullper STDINterminare immediatamente la connessione dopo averlo aperto.

Se ci si connette correttamente, SSLv3 è abilitato; se ottieni un ssl handshake failureallora non lo è.

Guarda anche

C'è un'eccellente domanda e risposta su Security SE: /security/70719/ssl3-poodle-vulnerability

Jason Owen
fonte
Non mi è chiaro che curlla -vbandiera prenda una discussione; puoi confermare quello che hai scritto sopra? O se ciò richiede una versione particolare di curl, sarebbe utile sapere anche.
MadHatter,
2
@MadHatter: No, sono due argomenti -v e -3 combinati in uno solo. Sembra però "v3".
Andrew Schulman,
1
Grazie, il chiarimento è molto apprezzato! Prendo quasi nulla della forma SSL .*connection using .*_WITH_.*equivale a fallimento?
MadHatter,
@MadHatter mi dispiace per la confusione, ho aggiornato la risposta per essere più chiara.
Jason Owen,
2

Se vuoi fare un rapido controllo, vai all'URL in basso. Fa un ottimo lavoro al passo con tutte le cose SSL, compreso il controllo di POODLE.

https://www.ssllabs.com/ssltest/

RVH
fonte
1
Sebbene il collegamento possa contenere informazioni utili, i collegamenti si interrompono rendendo questo inutile per i futuri visitatori. L'aggiunta di ulteriori informazioni dal link potrebbe migliorare questa risposta
Dave M
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.