CV-2014-3566 SSL V3 Poodle vulnerability

Publicado por Perfil removido em 13/02/2015

[ Hits: 6.729 ]

 


CV-2014-3566 SSL V3 Poodle vulnerability



Saudações, pessoal.

A dica é para tratarmos desta vulnerabilidade que já tem alguns meses, mas que ainda pode ser encontrada em servidores Apache, HTTPD, nGinx etc.

Não detalharei muito sobre a vulnerabilidade, mas quem quiser conhecer melhor, segue o link:
Bom, em meu caso, os meus servidores Apache não usavam o SSL, apenas o servidor de ownCloud que sim, pois todos meus servidores se tratavam de servidores sem exposição para a internet.

Sei que o melhor seria mesmo sendo servidores internos, que suas conexões fossem seguras por criptografia SSL, mas isto estarei implementando futuramente. Bom, vamos à dica!

Para saber se o seu servidor utiliza o protocolo SSLv3, utilize o seguinte comando:

# openssl s_client -connect localhost:443 -ssl3

Este comando executa um acesso SSL na porta 443 pelo protocolo SSLv3. Caso o comando seja estabelecida, será mostrado os dados do certificado criado pelo servidor e isso indica que o servidor aceita conexões neste protocolo.

O resultado que queremos ver e que nos protege neste caso seria:

21741:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1108:SSL alert number 40
21741:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:545:


Pode ser usado também o Nmap para verificar se a porta 443 está aberta indicando o uso do SSL:

# nmap -v localhost

Para se proteger em servidores Apache, será necessário editar o seguinte arquivo:

# vim /etc/apache2/mods-available/ssl.conf
  • Procure pela linha: SSLProtocol all -SSLv2
  • E adicione: -SSLv3

Feito isto, reinicie o Apache:

# /etc/init.d/apache2 restart

Para se proteger em servidores Nginx, será necessário editar o seguinte arquivo:

# vim /etc/nginx/sites-enabled/default

Procure por "server { }", terá dois servers, um para a porta 80 e outro indicando a porta 443. Adicione a linha dentro do server especificando a porta 443:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Isto indica que o protocolo aceito serão os protocolos especificados.

# /etc/init.d/nginx restart

Vale salientar que no meu caso não uso o SSL para comunicação dos servidores ainda, mas já me preveni. E que uma conexão deste tipo só será feita, caso as duas pontas servidores e clientes estejam usando o protocolo na versão SSLv3, ou seja, você se protegendo estará também protegendo o cliente.

Este previne somente os servidores web, mas este protocolo está ativo também no Java, nos navegadores, no Postfix, ou seja, o trabalho é árduo e temos que continuar.

Bibliografia:
Outras dicas deste autor

Como instalar o NetBeans 8.2 no Ubuntu [Vídeo]

Instalando Google Chrome no LMDE 6

Blog e repositório de pacotes deb para amd64

Howto: Postfix integrado ao Active Directory - Debian Lenny

Struts e JSTL - Na tela aparece somente a váriavel e não o valor

Leitura recomendada

Acesso ao site da Caixa Econômica após atualização do Java no Debian 7

fwbuilder - interface gráfica para iptables

Regras para bloqueio de NetBios do Windows

Ataque de dicionário com OpenSSL - quebrando senhas

arch-audit - Detecte vulnerabilidades nos pacotes instalados no Arch Linux

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts