frame

Sveiki apsilankę!

Jei forume lankaisi pirmą kartą, kviečiame registruotis ir prisijungti prie diskusijų.

Prisijungti Registruotis

SSL v3.0 protokolo saugumo spraga

IV_RomanLIV_RomanL Interneto vizija
Aprašymas

SSL - saugaus sujungimo lygmuo (angl. Secure Sockets Layer) t.y. kriptografinis protokolas, skirtas informacijos, sklindančios internete apsaugojimui šifruojant. SSL protokolas naudojamas interneto naudotojo programinės įrangos ir tarnybinės stoties programinės įrangos komunikacijos šifravimui. SSL protokolas dažniausiai naudojamas interneto svetainėse, siekiant užtikrinti visos puslapiuose įvedamos informacijos privatumą ir saugumą.

SSL v3.0 protokolo blokinio šifravimo algoritmo aptikta saugumo spraga ("POODLE attack”), piktavaliui suteikia galimybę vykdyti „Man in the middle“ ataką ir tokiu būdų iššifruoti sujungimą, bei periimti visus perduodamus interneto naudotojo duomenis.

CERT-LT rekomenduoja

a) išjungti SSL v3.0 protokolo palaikymą, tokiu atveju bus naudojamos senesnės SSL protokolo versijos;
b) naudoti kitą šifravimo algoritmą SSL v3.0 protokole;
c) atnaujinti SSL v3.0 tarnybinių stočių programinę įrangą, kad palaikytų SCSV protokolą. Ši saugumo spraga nebus išnaudojama tik tuo atveju jei vartotojo programinė įranga ir tarnybinės stoties programinė įranga palaikys SCSV protokolą.

SSL v3.0 palaikymo išjungimas tarnybinėse stotyse (serveriuose)

- “Apache” HTTP tarnybinė stotis:

Tarnybinės stoties ssl konfigūraciniame faile pridėti nenaudojamus protokolus:
SSLProtocol All -SSLv2 -SSLv3
- "Nginx" HTTP tarnybinė stotis:

Tarnybinės stoties ssl konfigūraciniame faile pridėti naudojama ssl protokolų sąrašą:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2
- "Postfix" SMTP tarnybinė stotis:

Tarnybinės stoties main.cf konfigūraciniame faile pridėti šią eilutę:
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
Įrankiai patikrinimui

POODLE saugumo spragos patikrai serveriuose: http://poodlebleed.com/

Informacijos šaltiniai

1. SSL 3.0 Protocol Vulnerability and POODLE Attack
2. OpenSSL Security Advisory [15 Oct 2014]
3. This POODLE Bites: Exploiting The SSL 3.0 Fallback
Pažymėtos temos:

Komentarai

  • domenaidomenai Naujokas (-ė)
    edited 2014 lapkričio 27
    /etc/httpd/conf.d/ssl.conf
    iterpiant jusu mineta eilute metama sintakses klaida
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2014 lapkričio 27
    Pataisėme komandas kurias reikia nurodyti konfigūraciniuose failuose.
  • domenaidomenai Naujokas (-ė)
    edited 2014 lapkričio 27
    apache komanda liko tokia pati
  • IV_RomanLIV_RomanL Interneto vizija
    edited 2014 lapkričio 27
    Apache komanda yra pataisyta, pašalinant kabliataškį gale. Patikslinkite prašau, ar eilutė:
    SSLProtocol All -SSLv2 -SSLv3
    

    Vis dar sukelia problemų perkraunant apache serverį? Jei taip, pateikite klaidos pranešimą.
  • domenaidomenai Naujokas (-ė)
    edited 2014 lapkričio 28
    Problema isspresta. Jusu duota eilute nedave efekto, bet ji dave sis pakoregavimas:
    # SSL Protocol support:
    # List the enable protocol levels with which clients will be able to
    # connect. Disable SSLv2 access by default:
    SSLProtocol all -SSLv3
Norėdami palikti komentarą, turite prisijungti arba registruokis.