Google ประกาศช่องโหว่ในโปรโตคอล SSLv3 นั้น
... อนุญาตให้คำนวณคำแถลงการเชื่อมต่อที่ปลอดภัยโดยผู้โจมตีเครือข่าย
ช่องโหว่นี้ได้รับการกำหนดCVE-2014-3566และชื่อทางการตลาด POODLE
ถ้าฉันมีเว็บไซต์ที่ ` https://www.example.com/ฉันจะบอกได้อย่างไรว่าช่องโหว่นี้ส่งผลกระทบต่อฉันหรือไม่
คำตอบ:
ด้วยการมาถึงของ POODLE ชุดเลขศูนย์ทั้งหมดที่ใช้โดย SSLv3 ได้ถูกบุกรุกและโปรโตคอลควรได้รับการพิจารณาว่าใช้งานไม่ได้
คุณสามารถตรวจสอบว่าเว็บไซต์ของคุณพร้อมใช้งานผ่าน SSLv3 ด้วยหรือไม่curl(1):
curl -v -3 -X HEAD https://www.example.com
-vผลัดโต้แย้งในการส่งออกอย่างละเอียด, -3กองกำลังขดใช้ SSLv3 และ-X HEADข้อ จำกัด การส่งออกในการเชื่อมต่อที่ประสบความสำเร็จ
หากคุณไม่ได้อ่อนแอคุณไม่ควรเชื่อมต่อและผลลัพธ์ของคุณควรมีลักษณะดังนี้:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
หากคุณมีช่องโหว่คุณควรเห็นเอาต์พุตการเชื่อมต่อปกติรวมถึงสาย:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
ไม่ใช่แค่เว็บไซต์ที่ใช้งานผ่าน SSL Mail, irc และ LDAP เป็นสามตัวอย่างของบริการที่มีให้ผ่านการเชื่อมต่อที่ปลอดภัยและมีความเสี่ยงต่อ POODLE เมื่อพวกเขายอมรับการเชื่อมต่อ SSLv3
ในการเชื่อมต่อกับบริการโดยใช้ SSLv3 คุณสามารถใช้คำสั่ง:openssl(1) s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connectอาร์กิวเมนต์ใช้hostname:portพารามิเตอร์ที่-ssl3ขีด จำกัด อาร์กิวเมนต์รุ่นโปรโตคอลเจรจา SSLv3 และท่อใน/dev/nullการSTDINทันทียุติการเชื่อมต่อหลังจากที่เปิดมัน
หากคุณเชื่อมต่อสำเร็จ SSLv3 จะเปิดใช้งาน ถ้าคุณได้รับssl handshake failureแล้วมันไม่
มีคำถามและคำตอบที่ยอดเยี่ยมเกี่ยวกับความปลอดภัย SE: /security/70719/ssl3-poodle-vulnerability
SSL .*connection using .*_WITH_.*เท่ากับความล้มเหลว?
หากคุณต้องการตรวจสอบอย่างรวดเร็วไปที่ URL ด้านล่าง การทำงานกับ SSL ทุกสิ่งทำได้ค่อนข้างดีรวมถึงการตรวจสอบ POODLE
curl's-vธงจะเกิดการโต้แย้ง; คุณยืนยันสิ่งที่คุณเขียนด้านบนได้ไหม หรือหากต้องใช้รุ่นเฉพาะของcurlที่จะเป็นประโยชน์ที่จะรู้ว่า