Как я могу узнать, уязвим ли мой сайт к CVE-2014-3566 (POODLE)?

14

Google объявил об уязвимости в протоколе SSLv3, которая

... позволяет сетевому злоумышленнику вычислять открытый текст защищенных соединений.

Эта уязвимость получила обозначение CVE-2014-3566 и маркетинговое название POODLE.

Если у меня есть веб-сайт по адресу https://www.example.com/ , как я могу определить, влияет ли эта уязвимость на меня?

security https Джейсон Оуэн
источник

Ответы:

17

SSLv3 сломан

С появлением POODLE все наборы шифров, используемые SSLv3, были скомпрометированы, и протокол следует считать непоправимым нарушением.

Веб-сайты

Вы можете проверить, доступен ли ваш сайт через SSLv3, с помощью curl(1):

curl -v -3 -X HEAD https://www.example.com

В -vаргумент включает многословный вывод, -3силы свернуться использовать SSLv3, и -X HEADограничивает выход на успешное подключение.

Если вы не уязвимы, вы не сможете подключиться, и ваш вывод должен выглядеть примерно так:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Если вы уязвимы, вы должны увидеть нормальный вывод соединения, включая строку:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Другие услуги

Это не просто веб-сайты, которые доступны через SSL. Mail, irc и LDAP - это три примера служб, доступных через защищенные соединения, и они также уязвимы для POODLE, когда принимают соединения SSLv3.

Чтобы подключиться к сервису с использованием SSLv3, вы можете использовать команду:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

-connectАргумент принимает hostname:portпараметр, -ssl3аргумент ограничивает версию протокола переговоров для SSLv3 и трубопроводы в /dev/nullк STDINнемедленно разрывает соединение после его открытия.

Если вы успешно подключились, SSLv3 включен; если вы получаете, ssl handshake failureто это не так.

Смотрите также

На Security SE есть отличный вопрос и ответ: /security/70719/ssl3-poodle-vulnerability

Джейсон Оуэн
источник
Пока не ясно мне , что curl«S -vфлаг принимает аргумент; Вы можете подтвердить то, что написали выше? Или, если это требует конкретной версии curl, это было бы полезно знать также.
MadHatter
2
@MadHatter: Нет, это два аргумента -v и -3, объединенные в один. Это выглядит как "v3", хотя.
Эндрю Шульман
1
Спасибо, разъяснение высоко ценится! Я так понимаю, что-нибудь по форме SSL .*connection using .*_WITH_.*приравнивается к провалу?
MadHatter
@MadHatter извините за путаницу, я обновил ответ, чтобы быть более ясным.
Джейсон Оуэн
2

Если вы хотите сделать быструю проверку, перейдите по ссылке ниже. Он неплохо справляется со всем, что касается SSL, включая проверку на POODLE.

https://www.ssllabs.com/ssltest/

РВГ
источник
1
В то время как ссылка может содержать полезную информацию, ссылки не работают, что делает ее бесполезной для будущих посетителей. Добавление дополнительной информации по ссылке может улучшить этот ответ
Dave M