Como posso saber se o meu site está vulnerável a CVE-2014-3566 (POODLE)?

14

O Google anunciou uma vulnerabilidade no protocolo SSLv3 que

... allows the plaintext of secure connections to be calculated by a network attacker.

Esta vulnerabilidade recebeu a designação CVE-2014-3566 e o nome de marketing POODLE.

Se eu tiver um website no link , como saber se essa vulnerabilidade me afeta?

    
por Jason Owen 15.10.2014 / 02:25

2 respostas

17

SSLv3 está quebrado

Com o advento do POODLE, todos os pacotes de criptografia usados pelo SSLv3 foram comprometidos, e o protocolo deve ser considerado irreparavelmente quebrado.

Websites

Você pode verificar se seu site está disponível em SSLv3 com curl(1) :

curl -v -3 -X HEAD https://www.example.com

O argumento -v ativa a saída detalhada, -3 força a curva para usar SSLv3 e a -X HEAD limita a saída em uma conexão bem-sucedida.

Se você não estiver vulnerável, não poderá conectar-se e sua saída deverá se parecer com isso:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Se você estiver vulnerável, verá a saída de conexão normal, incluindo a linha:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Outros serviços

Não são apenas sites disponíveis por SSL. Mail, irc e LDAP são três exemplos de serviços disponíveis por meio de conexões seguras e são igualmente vulneráveis a POODLE quando aceitam conexões SSLv3.

Para se conectar a um serviço usando SSLv3, você pode usar o openssl(1) s_client(1) :

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

O argumento -connect aceita um parâmetro hostname:port , o argumento -ssl3 limita as versões do protocolo negociadas para SSLv3 e o encadeamento em /dev/null to STDIN encerra imediatamente a conexão depois de abri-la.

Se você se conectar com sucesso, o SSLv3 estará habilitado; se você obtiver um ssl handshake failure , então não é.

Veja também

Há uma excelente pergunta e resposta sobre o Security SE: link

    
por 15.10.2014 / 02:26
2

Se você quiser fazer uma verificação rápida, acesse o URL abaixo. Ele faz um bom trabalho mantendo-se com todas as coisas SSL, incluindo a verificação de POODLE.

link

    
por 17.10.2014 / 20:08