Zraniteľnosť nazvaná Poodlebleed je odvodená od skratky Padding Oracle On Downgraded Legacy Encryption. Ide o zraniteľnosť v návrhu protokolu SSL 3.0, ktorý je skoro 15 rokov starý. Zraniteľnosť umožňuje dekryptovať pripojenie do podoby čistého textu.
Zraniteľnosť objavili výskumníci z Google Security Team, konkrétne Bodo Moller v spolupráci s Thai Duong-om a Krzysztof Kotowicz-om.
Zraniteľnosť spočíva v tom, že v prípade, že sa prehliadaču nepodarí vytvoriť pripojenie na novšom protokole SSL (verzie, TLS 1.0,1.1 alebo 1.2), môže sa stať, že sa skúsi pripojiť na starý protokol SSL 3.0.
Útočník dokáže nasimulovať to, nemožnosť pripojiť sa na novšom protokole, a tým pádom prinútiť prehliadač pripojiť sa na starý protokol SSL 3.0 a využiť zraniteľnosť na odchytenie, a dekryptovanie komunikácie medzi serverom a klientom.
Čo robiť?
Dôležité je odstaviť prehliadač od používania starého SSL 3.0 protokolu, predpokladám, že v blízkej dobe príde aktualizácia, ktorá úplne vymaže tento protokol z podporovaných protokolov, ale zatiaľ na to treba ísť manuálne. Vypnutie SSL 3.0 alebo CBC metódy šifrovania v SSL 3.0 je dostatočné na zmiernenie tohto problému, avšak môže to predstavovať problém s kompatibilitou serverov používajúcich staré metódy šifrovania. (Zatiaľ som na žiaden nenarazil)
Preto sa odporúča zachovať podporu TLS_FALLBACK_SCSV. Väčšina veľkých prehliadačov bude podporovať TLS_FALLBACK_SCSV aj v nadchádzajúcich mesiacoch. Dovtedy sa môžete chrániť tým, že vyradíte aspoň SSL 3.0 podporu vo vašom prehliadači.
Vo Firefoxe, to môže byť vykonané tým, že pôjdete do about:config a nastavenie security.tls.version.min na 1, prípadne si nainštalujete tento Add-on: https://addons.mozilla.org/sk/firefox/addon/disable-ssl-30/
V Chrome sa v konfigurácii táto možnosť nastaviť nedá, no dá sa však použiť parameter, ktorý nastaví rovnakú vlastnosť aj prehliadaču Chrome. V tom prípade stačí do „Target“ (Slovensky „Cieľ“) programu vložiť parameter " --ssl-version-min=tls1" bez úvodzoviek s medzerou. Tak ako je to na obrázku nižšie.
Fix pre Chrome je žiaľ dosť nepoužiteľný momentálne. Google oznámil, že vydá update, ktorý možnosť vypnutia SSL 3.0 povolí. Zatiaľ však treba používať toto dočasné riešenie.
Pozrieť si status klienta (prehliadača) si môžete na nasledujúcej adrese:
https://www.ssllabs.com/ssltest/viewMyClient.html
Admini
Týmto by som rád apeloval aj na administrátorov serverov, aby updateli servery a vypli SSL 3.0 podporu.
Test môžu vykonať priamo na adrese: http://poodlebleed.com/
Dobrý zdroj informácii pre administrátorov je tu: http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
SSL v neustálych problémoch
SSL má v poslednej dobe množstvo problémov na ktoré upozorňuje stránka: http://dayswithoutansslexploit.com/
Odporúčam si ju prečítať. Za tento link patrí vďaka Ondrejovi Jombíkovi, ktorý ma na tento problém upozornil a v ich firme už pracujú na upgrade-och serverov.
Zdroj: http://poodlebleed.com/
No comments:
Post a Comment