CV-2014-3566 SSL V3 Poodle vulnerability

Publicado por Rafael da Silva Rosa em 13/02/2015

[ Hits: 3.370 ]

Blog: http://rafaelsuporteonline.blogspot.com.br/

 


CV-2014-3566 SSL V3 Poodle vulnerability



Saudações, pessoal.

A dica é para tratarmos desta vulnerabilidade que já tem alguns meses, mas que ainda pode ser encontrada em servidores Apache, HTTPD, nGinx etc.

Não detalharei muito sobre a vulnerabilidade, mas quem quiser conhecer melhor, segue o link:
Bom, em meu caso, os meus servidores Apache não usavam o SSL, apenas o servidor de ownCloud que sim, pois todos meus servidores se tratavam de servidores sem exposição para a internet.

Sei que o melhor seria mesmo sendo servidores internos, que suas conexões fossem seguras por criptografia SSL, mas isto estarei implementando futuramente. Bom, vamos à dica!

Para saber se o seu servidor utiliza o protocolo SSLv3, utilize o seguinte comando:

# openssl s_client -connect localhost:443 -ssl3

Este comando executa um acesso SSL na porta 443 pelo protocolo SSLv3. Caso o comando seja estabelecida, será mostrado os dados do certificado criado pelo servidor e isso indica que o servidor aceita conexões neste protocolo.

O resultado que queremos ver e que nos protege neste caso seria:

21741:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1108:SSL alert number 40
21741:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:545:


Pode ser usado também o Nmap para verificar se a porta 443 está aberta indicando o uso do SSL:

# nmap -v localhost

Para se proteger em servidores Apache, será necessário editar o seguinte arquivo:

# vim /etc/apache2/mods-available/ssl.conf
  • Procure pela linha: SSLProtocol all -SSLv2
  • E adicione: -SSLv3

Feito isto, reinicie o Apache:

# /etc/init.d/apache2 restart

Para se proteger em servidores Nginx, será necessário editar o seguinte arquivo:

# vim /etc/nginx/sites-enabled/default

Procure por "server { }", terá dois servers, um para a porta 80 e outro indicando a porta 443. Adicione a linha dentro do server especificando a porta 443:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Isto indica que o protocolo aceito serão os protocolos especificados.

# /etc/init.d/nginx restart

Vale salientar que no meu caso não uso o SSL para comunicação dos servidores ainda, mas já me preveni. E que uma conexão deste tipo só será feita, caso as duas pontas servidores e clientes estejam usando o protocolo na versão SSLv3, ou seja, você se protegendo estará também protegendo o cliente.

Este previne somente os servidores web, mas este protocolo está ativo também no Java, nos navegadores, no Postfix, ou seja, o trabalho é árduo e temos que continuar.

Bibliografia:
Outras dicas deste autor

Segurança no Apache

Bitnami - Configure aplicações no servidor com poucos cliques

Mudança do valor de TTL - ping

Ghostery - Bloqueie quem te rastreia na Internet no Firefox

Upgrade de versão phpIPAM

Leitura recomendada

Evitando IP spoofing

Criptografia do diretório HOME no Debian

Paros Proxy - Web Application Security

Como testar se o SpamAssassin (antispam) e o ClamAV (antivírus) estão funcionando

Uma dica de firewall baseado em iptables

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário