OSSEZ

 找回密码
 新用户

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 337|回复: 0

如何修复 POODLE SSLv3 安全漏洞 (CVE-2014-3566)

[复制链接]
 楼主| 发表于 2018-3-17 04:04:02 | 显示全部楼层 |阅读模式
POODLE = Padding Oracle On Downgraded Legacy Encryption

首先, 这是一个迟来的命名,但安全问题仍然可怕。最新的安全漏洞 (CVE­-2014-3566) 代号是 POODLE, 这是一个缩写,按照上面的标题有实际的意义吗?

这个漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似,但是目前还没有可靠的解决办法,除非完全禁用 SSLv3 的支持。简单的说,攻击者可获取你加密流中的明文数据。

还是让我们来看看如何处理吧,Mozilla Security Wiki Serverside TLS 之前建议使用严格的协议和加密方法限制,值得我们注意。

Apache
在Apache 的 SSL 配置中禁用 SSLv3 和 SSLv3:

  1. SSLProtocol all -SSLv2 -SSLv3
复制代码


Nginx
在 Nginx 只允许使用 TLS 协议:

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
复制代码

MySQL
值得注意的是,除非你在 MySQL 5.6 中部署 sha256_password 插件,plugin for MySQL 5.6 就会在验证握手之前必须完成SSL/TLS连接协商,因此这种攻击向量只成为一个问题 —— 有效的登录访问的数据流。( sha256_password 提供一个选项使用 SSL/TLS 的认证)

这使得事情变得更加有趣,和 Apache 和 Nginx 不同的是,没有方法来完全启用和禁用 SSL/TLS 协议,但可以 指定 SSL 通讯的加密规范.

要在 MySQL 删除 SSLv3 的支持,你只需要确定在配置中不使用 SSLv3 加密。

在这个 bug 中你可以找到 SSLv3 加密方法列表:

  1. openssl ciphers -v 'DEFAULT' | awk '/SSLv3 Kx=(RSA|DH|DH(512))/ { print $1 }'
  2. DHE-RSA-AES256-SHA
  3. DHE-DSS-AES256-SHA
  4. DHE-RSA-CAMELLIA256-SHA
  5. DHE-DSS-CAMELLIA256-SHA
  6. AES256-SHA
  7. CAMELLIA256-SHA
  8. EDH-RSA-DES-CBC3-SHA
  9. EDH-DSS-DES-CBC3-SHA
  10. DES-CBC3-SHA
  11. DHE-RSA-AES128-SHA
  12. DHE-DSS-AES128-SHA
  13. DHE-RSA-SEED-SHA
  14. DHE-DSS-SEED-SHA
  15. DHE-RSA-CAMELLIA128-SHA
  16. DHE-DSS-CAMELLIA128-SHA
  17. AES128-SHA
  18. SEED-SHA
  19. CAMELLIA128-SHA
  20. RC4-SHA
  21. RC4-MD5
  22. EDH-RSA-DES-CBC-SHA
  23. EDH-DSS-DES-CBC-SHA
  24. DES-CBC-SHA
  25. EXP-EDH-RSA-DES-CBC-SHA
  26. EXP-EDH-DSS-DES-CBC-SHA
  27. EXP-DES-CBC-SHA
  28. EXP-RC2-CBC-MD5
  29. EXP-RC4-MD5
复制代码

删除 ssl-cipher 配置中的上述信息就可以禁用 SSLv3 支持。当然,确保 MySQL 服务不提供一般访问是迄今为止对抗 CVE-2014-3566 漏洞最重要的一个步骤。

你可以通过 这里 了解更多关于 POODLE 的资讯。

以下脚本可以识别你的服务是否提供没有密码的 SSLv3 支持:

  1. mysql -se “SHOW STATUS LIKE ‘Ssl_cipher_list'” | sed ‘s/:/n/g’ | sed ‘s/Ssl_cipher_listss//g’ |
  2. while read sspec;
  3. do SPEC=openssl ciphers -v “$sspec” 2>/dev/null | grep -v SSLv3 | awk ‘{print $1}';
  4. [[ "$sspec" == "$SPEC" ]] && mysql –ssl-cipher=$sspec -e QUIT 2>/dev/null && echo “$sspec OK”;
  5. done
复制代码
您需要登录后才可以回帖 登录 | 新用户

本版积分规则

关闭

站长推荐上一条 /1 下一条

QQ|手机版|小黑屋|Archiver|帮助|OSSEZ (North Tecom)  

GMT+8, 2019-10-20 01:14

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表