US: +1 561 2500001/EU: +359 2 4925555 LiveChat
[email protected] Sign Up Login
ITLDC
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]
  • SSD VDS
  • HD VDS
  • Серверы
  • Хостинг
  • Поддержка
  • Блог
  • Контакт
  • [EN]
  • [UA]

CVE-2014-3566 "Poodle" - очередная серьезная уязвимость в SSL

CVE-2014-3566 «Poodle» — очередная серьезная уязвимость в SSL

Окт 15, 2014DmitryНовости

Сегодня исследователи Google обнародовали описание новой уязвимости в SSL 3.0 (RFC6101), которая позволяет злоумышленникам получить доступ к передаваемым данным. Уязвимость получила наименование POODLE (Padding Oracle On Downgraded Legacy Encryption), CVE-2014-3566. Проблеме подвержены практически все доступные реализации https, что делает ее достаточно опасной, особенно для критичных приложений. Отметим, что данная уязвимость стала возможной не из-за ошибки в коде, а из-за недочета в дизайне протокола, что делает ее устранение нетривиальной задачей — недостаточно обычного патча.

Для получения доступа к данным злоумышленники вначале должны эмулировать несовместимость реализаций защищенного соединения между клиентом и сервером для того, чтобы клиентское ПО инициировало переход от более безопасных протоколов TLS на уровень SSL 3.0 — т.н. «downgrade dance». После этого у злоумышленников появляется возможность получить доступ к критичной информации — например, к заголовкам, которые хранят в cookie авторизационную информацию. Атака возможна по схеме Man in the middle — хакер должен перехватывать информацию между клиентом и сервером и иметь возможность модифицировать ее.

Уязвимыми являются броузеры, вэбсерверы, почтовые серверы и другие приложения, использующие SSL 3.0.

Mozilla Foundation уже выступила с заявлением, что в следующей версии Firefox 34 поддержка SSL 3.0 будет выключена по-умолчанию. Аналогичные изменения в Chrome планирует реализовать компания Google.

В качестве временного решения данной проблемы можно использовать запрещение SSL 3.0 на вэб-серверах и других приложениях, использующих SSL/TLS для шифрования обмена данными. Вместе с тем, в случае запрета на использование SSL 3.0 возможны проблемы, связанные с несовместимостью со старыми приложениями.

Рекомендации для nginx

Выключите SSL 3.0, добавив следующую опцию в конфигурацию https-сервера:

1
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Рекомендации для apache

Найдите в конфигурационных файлах настройки https-сервера и добавьте следующую директиву:

1
SSLProtocol All -SSLv2 -SSLv3

Почтовый сервер Postfix

По-умолчанию, postfix принимает как открытые, так и зашифрованные соединения. В том случае, если вы ранее настроили использование только шифрованных соединений, добавьте в конфигурационный файл следующую директиву:

1
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3

OpenVPN и приложения, использующие OpenVPN

В OpenVPN не может быть запрещен тот или иной протокол шифрования. Ожидается, что в ближайшее время будут доступны рекомендации по изменению конфигурации OpenVPN-сервера и/или клиентских продуктов.

Дополнительная информация:
  • This POODLE bites: exploiting the SSL 3.0 fallback / Google Online Security Blog
  • SSL3 “Poodle” Vulnerability / StackExchange
  • How do I patch/workaround SSLv3 POODLE vulnerability (CVE­-2014­-3566)? / AskUbuntu
  • A Web encryption vulnerability opens ‘encrypted’ data to hackers / The NextWeb
Tags: apache,  nginx,  openvpn,  security
Related Posts
  • Серьезная уязвимость в устройствах Mikrotik

  • CVE-2019-0708: Критическая уязвимость RDP в Windows

  • Свой VPN-сервер быстро и просто: устанавливаем Pritunl

  • Критическое обновление Vesta и новые уязвимости

← FreeBSD — окончание поддержки версий 8.x, 9.1 и 9.2
Новая площадка в Софии →

European HQ

ITL-Bulgaria Ltd.

5 Sv-Sv Kiril&Metodi str
Burgas
Burgas reg, 8000
Bulgaria

+359 2 4925555

[email protected]

Recent Posts

  • Черная Пятница от ITLDC началась:  скидки до 70%!
    Черная Пятница от ITLDC началась: скидки до 70%!

    Несмотря на то, что традиционная Черная...

  • Представляем HD VDS — облачные VDS для хранения данных
    Представляем HD VDS — облачные VDS для хранения данных

    Мы подготовили специальную линейку вирту...

  • Секретная распродажа SSD VDS и серверов!
    Секретная распродажа SSD VDS и серверов!

    Скучаете по распродажам? Не обязательно...

  • Дарим подарки к дню Системного Администратора!
    Дарим подарки к дню Системного Администратора!

    Встречайте 21-й ежегодный день системног...

  • Новый дизайн ISPManager!
    Новый дизайн ISPManager!

    Завтра выходит очередное обновление ISPM...

  • Новая версия FreeBSD 11.4
    Новая версия FreeBSD 11.4

    Спустя 11 месяцев после выпуска 11.3 и 7...

  • SPRING2020: 50% скидки на все SSD VDS!
    SPRING2020: 50% скидки на все SSD VDS!

    Начинаем нашу традиционную весеннюю акци...

  • WireGuard — готовим свой скоростной VPN за минуту!
    WireGuard — готовим свой скоростной VPN за минуту!

    Многие слышали о WireGuard - новом прото...

EU Support

 24/7 Support Team

PO Box #201
Burgas
Burgas reg. 8000
Bulgaria

+1 561 2500001

[email protected]

North America HQ

Green Floid LLC

2707 East Jefferson St
Orlando
Florida, 32803
USA

+1 561 2500001

[email protected]

Services

  • SSD VDS
  • Dedicated Servers
  • Shared Hosting
  • Colocation
  • DDoS Protection
  • SSL Certificates
  • Backup Storage
  • Reselling

Support

  • Get Help
  • ITLDC Status
  • Looking Glass
  • Our SLA
  • Datacenters
  • FAQ & Knowledgebase
  • Data Security
  • Contact us

© Copyright 1995-2019 ITLDC Team. You can freely use or share information from this site with a hyperlink to the original page.