Google đã công bố một lỗ hổng trong giao thức SSLv3

... cho phép bản rõ các kết nối an toàn được tính toán bởi kẻ tấn công mạng.

Lỗ hổng này đã được đặt tên CVE-2014-3566 và tên tiếp thị POODLE.

Nếu tôi có một trang web tại ` https://www.example.com/ , làm thế nào tôi có thể biết liệu lỗ hổng này có ảnh hưởng đến tôi không?

SSLv3 bị hỏng

Với sự ra đời của POODLE, tất cả các bộ mật mã được sử dụng bởi SSLv3 đã bị xâm phạm và giao thức nên được coi là bị phá vỡ không thể sửa chữa.

Trang web

Bạn có thể kiểm tra xem trang web của bạn có khả dụng qua SSLv3 hay không curl(1):

curl -v -3 -X HEAD https://www.example.com

Đối -vsố bật đầu ra dài dòng, -3buộc curl sử dụng SSLv3 và -X HEADgiới hạn đầu ra trên một kết nối thành công.

Nếu bạn không dễ bị tổn thương, bạn sẽ không thể kết nối và đầu ra của bạn sẽ trông giống như thế này:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Nếu bạn dễ bị tổn thương, bạn sẽ thấy đầu ra kết nối bình thường, bao gồm cả dòng:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Các dịch vụ khác

Đây không chỉ là các trang web có sẵn trên SSL. Mail, irc và LDAP là ba ví dụ về các dịch vụ khả dụng thông qua các kết nối được bảo mật và dễ bị tổn thương tương tự với POODLE khi chúng chấp nhận kết nối SSLv3.

Để kết nối với dịch vụ bằng SSLv3, bạn có thể sử dụng lệnh:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

Đối -connectsố có một hostname:porttham số, -ssl3đối số giới hạn các phiên bản giao thức được đàm phán với SSLv3 và đường ống vào /dev/nullđể STDINchấm dứt ngay kết nối sau khi mở nó.

Nếu bạn kết nối thành công, SSLv3 được bật; nếu bạn nhận được ssl handshake failurethì không.

Xem thêm

Có một câu hỏi và câu trả lời tuyệt vời về Bảo mật SE: /security/70719/ssl3-poodle-vulnerability

Nếu bạn muốn kiểm tra nhanh, hãy truy cập URL bên dưới. Nó thực hiện công việc khá tốt theo kịp tất cả mọi thứ SSL, bao gồm cả việc kiểm tra POODLE.

https://www.ssllabs.com/ssltest/