Ieri Google ha pubblicato la scoperta di una vulnerabilità SSL 3.0 denominata "POODLE". Questa vulnerabilità consente a un aggressore di decifrare i dati trasferiti e di leggere con successo il testo in chiaro. Sebbene molti browser supportino protocolli più recenti e sicuri, un utente malintenzionato può creare problemi di connettività, inducendo il browser a ripiegare sul protocollo SSL 3.0 vulnerabile.
L'infrastruttura Linode è vulnerabile?
Abbiamo disabilitato SSL 3.0 sui nostri server web, su NodeBalancers e sul resto della nostra infrastruttura. La rapida esecuzione da parte del nostro team di sicurezza ha protetto la nostra infrastruttura da questa vulnerabilità.
Sono vulnerabile?
Se il vostro Linode rivolto a Internet consente connessioni criptate, dovrete assicurarvi che SSL 3.0 sia completamente disabilitato. Questo non significa che un protocollo più forte come TLS sia offerto prima, ma piuttosto che SSL 3.0 non dovrebbe essere un'opzione. Potete verificare se siete vulnerabili e come disabilitare SSL 3.0 utilizzando la nostra guida: Disabilitare SSLv3 per POODLE.
Commenti (8)
Thank you guys for this rapid response.
I think you should give a handy simple way on how to disable ssl 3.0 or deploy TLS_FALLBACK_SCSV into a server, such as how to change ssl.conf file.
In response to 水景一页, the Zmap people have put together a great resource:
https://zmap.io/sslv3/
There’s a nice cheat sheet for a few of the server-side packages:
https://zmap.io/sslv3/servers.html
The post has been updated with our guide on how to check for and then disable SSL 3.0.
Hi,
This guy is kindly enough to provide backported dovecot 2.0.9 which has SSlv3 disabled: https://fh.kuehnel.org/doevcot-ssl3/.
will there be any option in the near future to support SSL3 with TLS_FALLBACK_SCSV?
IE6 may be dwindling, but it’s still out there in some markets.
Thank you so Much for Helpful Tips.
TLS_FALLBACK_SCSV on web server end is only part of the solution as it only works if client web browser end supports TLS_FALLBACK_SCSV https://community.centminmod.com/threads/poodle-attacks-on-sslv3-vulnerability.1651/page-3#post-8351 . So until all web browsers update to support such, SSLv3 should be disabled on server end.
Thank you So Much @George