POODLE (Padding Oracle On Downgraded Legacy Encryption) és una vulnerabilitat que es va trobar el 14 d'octubre de 2014, que permet a un atacant llegir qualsevol informació xifrada mitjançant el protocol SSLv3 realitzant un atac man-in-the-middle. Tot i que molts programes utilitzen SSLv3 com a alternativa, ha arribat al punt que s'hauria de desactivar, ja que molts clients es poden veure obligats a utilitzar SSLv3. Forçar un client a SSLv3 augmenta la possibilitat que es produeixi un atac. Aquest article us mostrarà com desactivar SSLv3 en aplicacions de programari seleccionades que s'utilitzen habitualment avui dia.
Dirigiu-vos al fitxer de configuració on s'emmagatzema la informació del vostre servidor. Per exemple, /etc/nginx/sites-enabled/ssl.example.com.conf(substituint el camí segons la vostra configuració). Dins del fitxer, cerqueu ssl_protocols. Assegureu-vos que aquesta línia existeixi i coincideixi amb el següent:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Això imposarà l'ús de TLS, desactivant així SSLv3 (i qualsevol protocol antic o obsolet). Ara reinicieu el vostre servidor Nginx executant una de les ordres següents.
CentOS 7 :
systemctl restart nginx
Ubuntu/Debian :
service nginx restart
Per desactivar SSLv3, aneu al directori de configuració del vostre mòdul per a Apache. A Ubuntu/Debian pot ser /etc/apache2/mod-available. Mentre que a CentOS, es pot trobar a /etc/httpd/conf.d. Busqueu el ssl.conffitxer. Obriu ssl.confi trobeu la SSLProtocoldirectiva. Assegureu-vos que aquesta línia existeixi i coincideixi amb el següent:
SSLProtocol all -SSLv3 -SSLv2
Un cop hàgiu acabat, deseu i reinicieu el servidor executant una de les ordres següents.
Per a Ubuntu/Debian executar:
CentOS 7 :
systemctl restart httpd
Ubuntu/Debian :
service apache2 restart
Dirigiu-vos al vostre postfixdirectori. És típicament /etc/postfix/. Obriu el main.cffitxer i cerqueu smtpd_tls_mandatory_protocols. Assegureu-vos que aquesta línia existeixi i coincideixi amb el següent:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
Això obligarà a activar i utilitzar TLSv1.1 i TLSv1.2 al vostre servidor Postfix. Un cop fet, deseu i reinicieu.
CentOS 7 :
systemctl restart postfix
Ubuntu/Debian :
service postfix restart
Obriu el fitxer que es troba a /etc/dovecot/conf.d/10-ssl.conf. A continuació, cerqueu la línia que conté ssl_protocolsi assegureu-vos que coincideix amb el següent:
ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2
Un cop fet, deseu i reinicieu Dovecot.
CentOS 7 :
systemctl restart dovecot
Ubuntu/Debian :
service dovecot restart
Per verificar que SSLv3 està desactivat al vostre servidor web, executeu l'ordre següent (substituïu el domini i la IP en conseqüència):
openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3
Veureu una sortida similar a la següent:
CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1414181774
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Si voleu confirmar que el vostre servidor utilitza TLS, executeu la mateixa ordre però sense -ssl3:
openssl s_client -servername example.com -connect 0.0.0.0:443
Hauríeu de veure informació similar que es mostra. Localitzeu la Protocollínia i confirmeu que està utilitzant TLSv1.X(amb X és 1 o 2 segons la vostra configuració). Si veieu això, aleshores heu desactivat correctament SSLv3 al vostre servidor web.
La Intel·ligència Artificial no està en el futur, és aquí mateix en el present. En aquest bloc Llegiu com les aplicacions d'Intel·ligència Artificial han afectat diversos sectors.
També ets víctima d'atacs DDOS i estàs confós sobre els mètodes de prevenció? Llegiu aquest article per resoldre les vostres consultes.
Potser haureu sentit que els pirates informàtics guanyen molts diners, però us heu preguntat mai com guanyen aquest tipus de diners? anem a discutir.
Vols veure els invents revolucionaris de Google i com aquests invents van canviar la vida de tots els éssers humans actuals? A continuació, llegiu al bloc per veure els invents de Google.
El concepte de cotxes autònoms per sortir a les carreteres amb l'ajuda de la intel·ligència artificial és un somni que tenim des de fa temps. Però malgrat les diverses promeses, no es veuen enlloc. Llegeix aquest blog per saber-ne més...
A mesura que la ciència evoluciona a un ritme ràpid, fent-se càrrec de molts dels nostres esforços, també augmenten els riscos de sotmetre'ns a una singularitat inexplicable. Llegeix, què pot significar per a nosaltres la singularitat.
Llegeix el blog per conèixer de la manera més senzilla les diferents capes de l'Arquitectura Big Data i les seves funcionalitats.
Els mètodes d'emmagatzematge de les dades que han anat evolucionant poden ser des del naixement de les dades. Aquest bloc tracta l'evolució de l'emmagatzematge de dades a partir d'una infografia.
En aquest món digital, els dispositius domèstics intel·ligents s'han convertit en una part crucial de les vides. A continuació, es mostren alguns avantatges sorprenents dels dispositius domèstics intel·ligents sobre com fan que la nostra vida valgui la pena i sigui més senzilla.
Recentment, Apple va llançar macOS Catalina 10.15.4, una actualització de suplements per solucionar problemes, però sembla que l'actualització està causant més problemes que provoquen el bloqueig de les màquines Mac. Llegiu aquest article per obtenir més informació
