Jak mogę sprawdzić, czy moja witryna jest podatna na CVE-2014-3566 (POODLE)?

14

Google ogłosił lukę w protokole SSLv3, który

... pozwala na obliczenie zwykłego tekstu bezpiecznych połączeń przez atakującego sieć.

Luce tej nadano lukę CVE-2014-3566 i nazwę marketingową POODLE.

Jeśli mam witrynę internetową pod adresem https://www.example.com/ , jak mogę sprawdzić, czy ta luka dotyczy mnie?

Jason Owen
źródło

Odpowiedzi:

17

SSLv3 jest zepsuty

Wraz z pojawieniem się POODLE wszystkie zestawy szyfrów używane przez SSLv3 zostały przejęte, a protokół należy uznać za nieodwracalnie uszkodzony.

Strony internetowe

Możesz sprawdzić, czy Twoja witryna jest dostępna za pośrednictwem protokołu SSLv3 za pomocą curl(1):

curl -v -3 -X HEAD https://www.example.com

Te -vzakręty argumentów do pełnych mocy, -3siły zwijają używać SSLv3 i -X HEADogranicza moc o udanym związku.

Jeśli nie jesteś zagrożony, nie powinieneś być w stanie się połączyć, a twój wynik powinien wyglądać mniej więcej tak:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Jeśli jesteś wrażliwy, powinieneś zobaczyć normalne wyjście połączenia, w tym linię:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Inne usługi

Nie tylko strony internetowe są dostępne za pośrednictwem protokołu SSL. Mail, irc i LDAP to trzy przykłady usług dostępnych za pośrednictwem bezpiecznych połączeń, które są podobnie narażone na POODLE, gdy akceptują połączenia SSLv3.

Aby połączyć się z usługą za pomocą SSLv3, możesz użyć polecenia:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

-connectArgumentu wykonuje hostname:portparametru, -ssl3argumentem ogranicza wersji protokołu negocjowane SSLv3 i przewodów rurowych /dev/nulldo STDINnatychmiastowego zakończenia połączenia po otwarciu.

Jeśli połączenie zostanie nawiązane pomyślnie, protokół SSLv3 jest włączony; jeśli dostaniesz ssl handshake failure, to nie jest.

Zobacz też

Na Security SE znajduje się doskonałe pytanie i odpowiedź: /security/70719/ssl3-poodle-vulnerability

Jason Owen
źródło
To nie jest dla mnie jasne, że curl„s -vflagi przyjmuje argument; czy możesz potwierdzić to, co napisałeś powyżej? Lub jeśli wymaga to konkretnej wersji curl, warto by to wiedzieć.
MadHatter
2
@MadHatter: Nie, to dwa argumenty -v i -3 połączone w jeden. Wygląda jednak jak „v3”.
Andrew Schulman
1
Dzięki, wyjaśnienie jest bardzo mile widziane! Przyjmuję, że prawie wszystko w formie SSL .*connection using .*_WITH_.*równa się porażce?
MadHatter
@MadHatter przepraszam za zamieszanie, zaktualizowałem odpowiedź, aby była bardziej przejrzysta.
Jason Owen
2

Jeśli chcesz szybko sprawdzić, przejdź do adresu URL poniżej. Wykonuje całkiem niezłą robotę, nadążając za wszystkimi rzeczami związanymi z SSL, w tym sprawdzaniem POODLE.

https://www.ssllabs.com/ssltest/

rvh
źródło
1
Chociaż link może zawierać przydatne informacje, linki się psują, co czyni je bezużytecznymi dla przyszłych użytkowników. Dodanie dodatkowych informacji z linku może poprawić tę odpowiedź
Dave M