CV-2014-3566 SSL V3 Poodle vulnerability

Publicado por Rafael da Silva Rosa em 13/02/2015

[ Hits: 4.287 ]

Blog: http://rafaelsuporteonline.blogspot.com.br/

 


CV-2014-3566 SSL V3 Poodle vulnerability



Saudações, pessoal.

A dica é para tratarmos desta vulnerabilidade que já tem alguns meses, mas que ainda pode ser encontrada em servidores Apache, HTTPD, nGinx etc.

Não detalharei muito sobre a vulnerabilidade, mas quem quiser conhecer melhor, segue o link:
Bom, em meu caso, os meus servidores Apache não usavam o SSL, apenas o servidor de ownCloud que sim, pois todos meus servidores se tratavam de servidores sem exposição para a internet.

Sei que o melhor seria mesmo sendo servidores internos, que suas conexões fossem seguras por criptografia SSL, mas isto estarei implementando futuramente. Bom, vamos à dica!

Para saber se o seu servidor utiliza o protocolo SSLv3, utilize o seguinte comando:

# openssl s_client -connect localhost:443 -ssl3

Este comando executa um acesso SSL na porta 443 pelo protocolo SSLv3. Caso o comando seja estabelecida, será mostrado os dados do certificado criado pelo servidor e isso indica que o servidor aceita conexões neste protocolo.

O resultado que queremos ver e que nos protege neste caso seria:

21741:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1108:SSL alert number 40
21741:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:545:


Pode ser usado também o Nmap para verificar se a porta 443 está aberta indicando o uso do SSL:

# nmap -v localhost

Para se proteger em servidores Apache, será necessário editar o seguinte arquivo:

# vim /etc/apache2/mods-available/ssl.conf
  • Procure pela linha: SSLProtocol all -SSLv2
  • E adicione: -SSLv3

Feito isto, reinicie o Apache:

# /etc/init.d/apache2 restart

Para se proteger em servidores Nginx, será necessário editar o seguinte arquivo:

# vim /etc/nginx/sites-enabled/default

Procure por "server { }", terá dois servers, um para a porta 80 e outro indicando a porta 443. Adicione a linha dentro do server especificando a porta 443:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Isto indica que o protocolo aceito serão os protocolos especificados.

# /etc/init.d/nginx restart

Vale salientar que no meu caso não uso o SSL para comunicação dos servidores ainda, mas já me preveni. E que uma conexão deste tipo só será feita, caso as duas pontas servidores e clientes estejam usando o protocolo na versão SSLv3, ou seja, você se protegendo estará também protegendo o cliente.

Este previne somente os servidores web, mas este protocolo está ativo também no Java, nos navegadores, no Postfix, ou seja, o trabalho é árduo e temos que continuar.

Bibliografia:
Outras dicas deste autor

Upgrade de versão phpIPAM

Mudança do valor de TTL - ping

Ghostery - Bloqueie quem te rastreia na Internet no Firefox

Bitnami - Configure aplicações no servidor com poucos cliques

Segurança no Apache

Leitura recomendada

Desabilitando consulta de versão de servidor Bind

Impedindo acesso via modo single no LiLo

Criar um túnel ssh

Bloqueando virus com Mikrotik

Protegendo SSH no CentOS com Fail2ban

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts