Proteção contra vulnerabilidade POODLE SSLv3

Publicado por Roberto Soares (3spreto) em 01/12/2014

[ Hits: 5.655 ]

Blog: http://codesec.blogspot.com

 


Proteção contra vulnerabilidade POODLE SSLv3



Linux: Se protegendo contra a vulnerabilidade POODLE SSLv3

Em 14 de outubro de 2014, uma vulnerabilidade na versão 3 do protocolo de criptografia SSL foi divulgada. A vulnerabilidade, apelidada de POODLE (Padding Oracle On Downgraded Legacy Encryption), permite que um invasor leia informações criptografadas com esta versão do protocolo em texto puro, usando um ataque man-in-the-middle.

A vulnerabilidade POODLE, afeta quaisquer serviços ou clientes que tornam possível a comunicação usando o SSLv3.

Maiores informações podem ser vistas em CVE-2014-3566:
Como mitigar isso nos servidores Web/Linux?

Apache

No Ubuntu, basta alterar o arquivo abaixo:

sudo vi /etc/apache2/mods-available/ssl.conf

No CentOS, o caminho é um pouco diferente, conforme pode ser visto abaixo:

sudo vi /etc/httpd/conf.d/ssl.conf

Agora procure pela diretiva SSLProtocol, caso não exista, crie.

SSLProtocol all -SSLv3 -SSLv2

Salve a modificação e reinicie o serviço do Apache.

No Ubuntu:

sudo service apache2 restart

No CentOS:

sudo service httpd restart

nginx

No Ubuntu e CentOS, basta alterar o arquivo abaixo:

sudo vi /etc/nginx/nginx.conf

Agora procure pela diretiva ssl_protocols, caso não exista, crie.

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Salve a modificação e reinicie o serviço do nginx:

sudo service nginx restart

P.S.: estas alterações devem ser feitas apenas se o SSL está habilitado em seu WEB Server.


See you in the next vulnerability! :P

Outras dicas deste autor

Paros Proxy - Web Application Security

F1 = Fórmula 1? NÃO! Mais uma vulnerabilidade do IE

Web Application Security com CAL9000

Auditando senhas com Ncrack

Atualizando o BackTrack 4 com o apt-get e Fast-Track

Leitura recomendada

CV-2014-3566 SSL V3 Poodle vulnerability

Projeto Root - Senhas seguras com o KeePass

Configuração básica do IPtables

Protegendo o servidor SSH de ataque "brute force"

Autenticação no Apache2

  

Comentários

Nenhum comentário foi encontrado.



Contribuir com comentário