Como posso saber se meu site está vulnerável ao CVE-2014-3566 (POODLE)?

14

O Google anunciou uma vulnerabilidade no protocolo SSLv3 que

... permite que o texto sem formatação das conexões seguras seja calculado por um invasor de rede.

Essa vulnerabilidade recebeu a designação CVE-2014-3566 e o nome de marketing POODLE.

Se eu tiver um site em https://www.example.com/ , como posso saber se essa vulnerabilidade me afeta?

Jason Owen
fonte

Respostas:

17

SSLv3 está quebrado

Com o advento do POODLE, todos os conjuntos de cifras usados ​​pelo SSLv3 foram comprometidos e o protocolo deve ser considerado irreparavelmente quebrado.

Websites

Você pode verificar se seu site está disponível no SSLv3 com curl(1):

curl -v -3 -X HEAD https://www.example.com

O -vargumento ativa a saída detalhada, -3força o curl a usar SSLv3 e -X HEADlimita a saída em uma conexão bem-sucedida.

Se você não estiver vulnerável, não poderá conectar-se e sua saída será algo como isto:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Se você estiver vulnerável, deverá ver uma saída de conexão normal, incluindo a linha:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Outros serviços

Não são apenas sites disponíveis sobre SSL. Mail, irc e LDAP são três exemplos de serviços disponíveis por meio de conexões seguras e são igualmente vulneráveis ​​ao POODLE quando aceitam conexões SSLv3.

Para conectar-se a um serviço usando SSLv3, você pode usar o comando:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

O -connectargumento usa um hostname:portparâmetro, o -ssl3argumento limita as versões do protocolo negociadas ao SSLv3 e a inserção direta /dev/nullpara STDINfinalizar imediatamente a conexão após a abertura.

Se você se conectar com êxito, o SSLv3 será ativado; se você receber um ssl handshake failure, não é.

Veja também

Há uma excelente pergunta e resposta no Security SE: /security/70719/ssl3-poodle-vulnerability

Jason Owen
fonte
Não está claro para mim que curla -vbandeira leva uma discussão; você pode confirmar o que escreveu acima? Ou, se isso exigir uma versão específica curl, seria útil saber também.
21914 MadHatter
2
@ MadHatter: Não, são dois argumentos -v e -3 combinados em um. Parece "v3" embora.
Andrew Schulman 15/10
1
Obrigado, o esclarecimento é muito apreciado! Acho que quase tudo da forma SSL .*connection using .*_WITH_.*equivale a falha?
21914 MadHatter
@ MadHatter desculpe pela confusão, atualizei a resposta para ficar mais clara.
Jason Owen
2

Se você quiser fazer uma verificação rápida, acesse o URL abaixo. Ele faz um bom trabalho ao acompanhar tudo o que é SSL, incluindo a verificação de POODLE.

https://www.ssllabs.com/ssltest/

rvh
fonte
1
Embora o link possa ter informações úteis, os links quebram, tornando-o inútil para futuros visitantes. Adicionando mais informações a partir do link poderia melhorar esta resposta
Dave M