Google объявил об уязвимости в протоколе SSLv3, которая
... позволяет сетевому злоумышленнику вычислять открытый текст защищенных соединений.
Эта уязвимость получила обозначение CVE-2014-3566 и маркетинговое название POODLE.
Если у меня есть веб-сайт по адресу https://www.example.com/ , как я могу определить, влияет ли эта уязвимость на меня?
Ответы:
С появлением POODLE все наборы шифров, используемые SSLv3, были скомпрометированы, и протокол следует считать непоправимым нарушением.
Вы можете проверить, доступен ли ваш сайт через SSLv3, с помощью curl(1):
curl -v -3 -X HEAD https://www.example.com
В -vаргумент включает многословный вывод, -3силы свернуться использовать SSLv3, и -X HEADограничивает выход на успешное подключение.
Если вы не уязвимы, вы не сможете подключиться, и ваш вывод должен выглядеть примерно так:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
Если вы уязвимы, вы должны увидеть нормальный вывод соединения, включая строку:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
Это не просто веб-сайты, которые доступны через SSL. Mail, irc и LDAP - это три примера служб, доступных через защищенные соединения, и они также уязвимы для POODLE, когда принимают соединения SSLv3.
Чтобы подключиться к сервису с использованием SSLv3, вы можете использовать команду:openssl(1) s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connectАргумент принимает hostname:portпараметр, -ssl3аргумент ограничивает версию протокола переговоров для SSLv3 и трубопроводы в /dev/nullк STDINнемедленно разрывает соединение после его открытия.
Если вы успешно подключились, SSLv3 включен; если вы получаете, ssl handshake failureто это не так.
На Security SE есть отличный вопрос и ответ: /security/70719/ssl3-poodle-vulnerability
SSL .*connection using .*_WITH_.*приравнивается к провалу?
Если вы хотите сделать быструю проверку, перейдите по ссылке ниже. Он неплохо справляется со всем, что касается SSL, включая проверку на POODLE.
curl«S-vфлаг принимает аргумент; Вы можете подтвердить то, что написали выше? Или, если это требует конкретной версииcurl, это было бы полезно знать также.