Vai al contenuto principale
BlogPanoramica sul cloudVulnerabilità POODLE SSL 3.0

Vulnerabilità POODLE SSL 3.0

Ieri Google ha pubblicato la scoperta di una vulnerabilità SSL 3.0 denominata "POODLE". Questa vulnerabilità consente a un aggressore di decifrare i dati trasferiti e di leggere con successo il testo in chiaro. Sebbene molti browser supportino protocolli più recenti e sicuri, un utente malintenzionato può creare problemi di connettività, inducendo il browser a ripiegare sul protocollo SSL 3.0 vulnerabile.

L'infrastruttura Linode è vulnerabile?

Abbiamo disabilitato SSL 3.0 sui nostri server web, su NodeBalancers e sul resto della nostra infrastruttura. La rapida esecuzione da parte del nostro team di sicurezza ha protetto la nostra infrastruttura da questa vulnerabilità.

Sono vulnerabile?

Se il vostro Linode rivolto a Internet consente connessioni criptate, dovrete assicurarvi che SSL 3.0 sia completamente disabilitato. Questo non significa che un protocollo più forte come TLS sia offerto prima, ma piuttosto che SSL 3.0 non dovrebbe essere un'opzione. Potete verificare se siete vulnerabili e come disabilitare SSL 3.0 utilizzando la nostra guida: Disabilitare SSLv3 per POODLE.

Commenti (8)

  1. Author Photo

    Thank you guys for this rapid response.
    I think you should give a handy simple way on how to disable ssl 3.0 or deploy TLS_FALLBACK_SCSV into a server, such as how to change ssl.conf file.

  2. Author Photo

    In response to 水景一页, the Zmap people have put together a great resource:

    https://zmap.io/sslv3/

    There’s a nice cheat sheet for a few of the server-side packages:

    https://zmap.io/sslv3/servers.html

  3. Author Photo

    The post has been updated with our guide on how to check for and then disable SSL 3.0.

  4. Author Photo

    Hi,

    This guy is kindly enough to provide backported dovecot 2.0.9 which has SSlv3 disabled: https://fh.kuehnel.org/doevcot-ssl3/.

  5. Author Photo

    will there be any option in the near future to support SSL3 with TLS_FALLBACK_SCSV?

    IE6 may be dwindling, but it’s still out there in some markets.

  6. Author Photo

    Thank you so Much for Helpful Tips.

  7. Author Photo

    TLS_FALLBACK_SCSV on web server end is only part of the solution as it only works if client web browser end supports TLS_FALLBACK_SCSV https://community.centminmod.com/threads/poodle-attacks-on-sslv3-vulnerability.1651/page-3#post-8351 . So until all web browsers update to support such, SSLv3 should be disabled on server end.

  8. Author Photo

    Thank you So Much @George

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *