Bagaimana saya bisa tahu jika situs web saya rentan terhadap CVE-2014-3566 (POODLE)?

14

Google mengumumkan kerentanan dalam protokol SSLv3 itu

... memungkinkan plaintext koneksi aman untuk dihitung oleh penyerang jaringan.

Kerentanan ini telah diberi sebutan CVE-2014-3566 dan nama pemasaran POODLE.

Jika saya memiliki situs web di ` https://www.example.com/ , bagaimana saya bisa tahu apakah kerentanan ini memengaruhi saya?

security https Jason Owen
sumber

Jawaban:

17

SSLv3 Rusak

Dengan munculnya POODLE, semua suite sandi yang digunakan oleh SSLv3 telah dikompromikan, dan protokol tersebut harus dianggap rusak yang tidak dapat diperbaiki.

Situs web

Anda dapat memeriksa apakah situs web Anda tersedia melalui SSLv3 dengan curl(1):

curl -v -3 -X HEAD https://www.example.com

The -vbergantian argumen pada verbose output, -3pasukan meringkuk menggunakan SSLv3, dan -X HEADmembatasi output pada koneksi sukses.

Jika Anda tidak rentan, Anda seharusnya tidak dapat terhubung, dan output Anda akan terlihat seperti ini:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Jika Anda rentan, Anda akan melihat output koneksi normal, termasuk jalur:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Layanan Lainnya

Bukan hanya situs web yang tersedia melalui SSL. Mail, irc, dan LDAP adalah tiga contoh layanan yang tersedia melalui koneksi aman, dan juga rentan terhadap POODLE ketika mereka menerima koneksi SSLv3.

Untuk menghubungkan ke layanan menggunakan SSLv3, Anda dapat menggunakan perintah:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

The -connectArgumen mengambil hostname:portparameter, yang -ssl3argumen membatasi versi protokol dinegosiasikan untuk SSLv3, dan pipa di /dev/nulluntuk STDINsegera mengakhiri hubungan setelah membukanya.

Jika Anda berhasil terhubung, SSLv3 diaktifkan; jika Anda mendapatkan ssl handshake failuremaka tidak.

Lihat juga

Ada pertanyaan dan jawaban yang sangat baik pada Security SE: /security/70719/ssl3-poodle-vulnerability

Jason Owen
sumber
Tidak jelas bagi saya bahwa curl's -vbendera membawa argumen; dapatkah Anda mengkonfirmasi apa yang Anda tulis di atas? Atau jika itu membutuhkan versi tertentu curl, itu akan berguna untuk diketahui juga.
MadHatter
2
@ MadHatter: Tidak, itu dua argumen -v dan -3 digabungkan menjadi satu. Itu memang terlihat seperti "v3".
Andrew Schulman
1
Terima kasih, klarifikasi ini sangat dihargai! Saya menganggapnya hampir semua bentuk yang SSL .*connection using .*_WITH_.*setara dengan kegagalan?
MadHatter
@ MadHatter maaf atas kebingungan, saya sudah memperbarui jawabannya menjadi lebih jelas.
Jason Owen
2

Jika Anda ingin melakukan pemeriksaan cepat, buka URL di bawah ini. Ia melakukan pekerjaan yang cukup baik mengikuti semua hal SSL, termasuk memeriksa POODLE.

https://www.ssllabs.com/ssltest/

rvh
sumber
1
Meskipun tautan tersebut mungkin memiliki informasi yang bermanfaat, tautan-tautan yang dipatahkan membuat ini tidak berguna bagi pengunjung masa depan. Menambahkan lebih banyak info dari tautan dapat meningkatkan jawaban ini
Dave M