Как защитить свой сервер от уязвимости POODLE SSLv3

вопросы по устройству ВДС, ресурсам, предустановленному софту и т.д.

Модераторы: Art.i, garry

Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Crash » Пн окт 20, 2014 11:31 am

Уязвимость POODLE – что такое и с чем едят?
14 октября 2014 года в протоколе шифрования SSL версии 3 была выявлена уязвимость. Эта уязвимость, названная POODLE (Padding Oracle On Downgraded Legacy Encryption), позволяет злоумышленнику читать информацию, зашифрованную этой версией протокола, используя атаку man-in-the-middle.
Если кратко, то уязвимость POODLE позволяет злоумышленникам подменять данные, передаваемые обычным пользователем по протоколу SSLv3. Благодаря этому мошенник может получить ключ к расшифровке персональных данных пользователя за очень короткое время.

Кто подвержен этой уязвимости?
Этой уязвимости подвержено любое программное обеспечение, использующее для шифрования соединения SSLv3. Это веб-браузеры, веб-серверы, почтовые серверы и тому подобное.

Как защититься?
Должны быть предприняты действия, которые не позволят использовать SSLv3 ни в случае использования клиентских приложений, ни в случае серверных.
И серверы и клиенты должны отключить полностью поддержку SSLv3.
Подробная инструкция, как защитить свои серверные приложения и браузеры от POODLE SSLv3 выложена в нашем блоге на популярном ресурсе «Хабрахабр».
Если вам сложно произвести указанные действия самостоятельно, мы готовы вам оказать помощь в устранении данной уязвимости. Для этого вам достаточно приобрести пакет «Базовый» по минимальной стоимости в рамках услуги «Поддержка». Купить пакет можно через личный кабинет BILLmanager (раздел «Товары и услуги» => «Платная поддержка»). После этого необходимо создать тикет с темой «Уязвимость POODLE SSLv3».

С уважением,
Команда FirstVDS

Изображение
Crash
 
Сообщений: 54
Зарегистрирован: Ср июл 03, 2013 10:40 am

Re: Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Eddie » Пн окт 20, 2014 12:03 pm

Расскажите лучше, как защитить ISP Manager 5 и его ihttpd от пуделя. Если в apache, nginx, dovecot и postfix все прозрачно и понятно отключается, то с ihttpd из ISP Manager 5 вообще все плохо. На форуме ISP Systems я задал вопрос разработчикам - и тишина...
Eddie
 
Сообщений: 125
Зарегистрирован: Ср авг 23, 2006 9:05 am

Re: Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Mikanoshi » Пн окт 20, 2014 8:02 pm

На ISP Manager 4 по SSLv2/v3 не подключается к ihttp
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Eddie » Пн окт 20, 2014 8:46 pm

Mikanoshi писал(а):На ISP Manager 4 по SSLv2/v3 не подключается к ihttp

Как проверяли? BillManager, кстати, тоже уязвим:



Код: выделить все
$ openssl s_client -connect my.firstvds.ru:443 -ssl3
....
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : AES256-SHA
    Session-ID: B79DC272CA7B0AEC8D90CCBF143DAC27A402DE5E6F69726447D616813C5C2CE5
    Session-ID-ctx:
    Master-Key: 73D9A999BD385E8E52C29B74484AE69F3E16A6167F0EFC8FF50C4CE94A433596DB8FB52BCDF6B7494730CA04D84872BA
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1413827009
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---
Eddie
 
Сообщений: 125
Зарегистрирован: Ср авг 23, 2006 9:05 am

Re: Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Mikanoshi » Пн окт 20, 2014 11:56 pm

Eddie писал(а):$ openssl s_client -connect 255.255.255.255:443 -ssl3

Так и проверял, -ssl3 не работает, а с -tls1 подключение проходит.
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Как защитить свой сервер от уязвимости POODLE SSLv3

Сообщение Eddie » Чт окт 23, 2014 9:17 am

Мне кстати там ответили:
Уточнил у разработчиков - отключим протокол в следующих релизах. По срокам пока не сориентировали
Eddie
 
Сообщений: 125
Зарегистрирован: Ср авг 23, 2006 9:05 am



Вернуться в Вопросы о работе сервера

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 6