POODLE - Az SSL 3.0 tervezési hibájára figyelmeztet a Google

Google Security Team három szakembere - Bodo Möller, Thai Duong, Krzysztof Kotowicz - felfedezték, hogy az SSL 3.0-nak komoly tervezési hibája van. Noha az SSL 3.0 már 15 éves, még mindig széles körben támogatott maradt. Például szinte az összes böngésző támogatja annak érdekében, hogy megkerülhessék a HTTPS szerverek bugjait. Ha ezek a böngészők bugos HTTPS szerverrel találkoznak, megpróbálják újra létrehozni a hibás kapcsolatot egy régebbi protokollal (fallback), például SSL 3.0-val. Mivel a hálózati támadó képes kapcsolati hibát előidézni, ezzel rákényszerítheti az áldozat böngészőjét az SSL 3.0 használatára és így kihasználhatja a régi, ám széles körben használt protokoll sebezhetőségét.

A Google azt reméli, hogy a következő hónapokban teljes mértékben eltávolíthatják az SSL 3.0 támogatást a klienstermékeikből.

[ bejelentés | problémaleírás ]

Hozzászólások

Remek, remek, megjelent az indexen is, holnap 47 különböző embernek kell elmagyaráznom, hogy nem érint a dolog... :/

Avagy local halon az alabbi is jo megoldas:
openssl s_client -no_tls1 -connect ${HOST}:${PORT} /dev/null | egrep 'Protocol.*SSLv'
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

nmap --script ssl-enum-ciphers -p 443 google.com

Nekem ez nem csinált semmit (irodai LAN, ismeretlen firewall korlátozásokkal), kiírta h. a google.com nem válaszol pingre oszt kilépett. Itthon sokáig tartott, látszólag semmit nem csinált, de aztán kiadta a listát. Az "unknown strenght" cipher suite-ok olyan újak. az nmap szkript írója nem tudott róluk véleményt nyilvánítani v. csak olyan egzotikusak h. kifelejtette a listából?

Köszönöm a tippeket!

Viszont, Debian 6.0.10-án:

a Huncraft által javasolt parancs kimenete az openssl kapcsolóinak listáját adja vissza. Gondolom azért, mert az én verzióm régi. (OpenSSL 0.9.8o 01 Jun 2010)

a zeller által írt nmapes parancs localhostra futtatva szintén hibaüzenettel száll el.


root@server# nmap --script ssl-enum-ciphers -p 443 localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2014-10-19 09:43 CEST
NSE: failed to initialize the script engine:
/usr/share/nmap/nse_main.lua:390: 'ssl-enum-ciphers' did not match a category, filename, or directory
stack traceback:
[C]: in function 'error'
/usr/share/nmap/nse_main.lua:390: in function 'get_chosen_scripts'
/usr/share/nmap/nse_main.lua:594: in main chunk
[C]: ?

QUITTING!

Én szerver teszthez a http://poodlebleed.com/ címet használtam. Eredetileg figyelmeztetést adott, viszont miután letiltottam az SSLv3-at, bezöldült a szöveg.

Az apache2 konfigját még a Mozilla ezen leírás alapján javaslatai alapján frissítettem. (SSLProtocol, SSLHonorCipherOrder, SSLCipherSuite, stb.)

Opera 12.x: opera:config -> Enable SSL v3 - pipa ki

2014 a security legsúlyosabb éve!?

off
mostantól a jövőben megjelenő minden security issue kap majd valami egyedi idétlen nevet? Lesz majd vmi központi tanács, akiknek joga lesz kiosztani a neveket minden hibához?