POODLE (Padding Oracle On Downgraded Legacy Encryption) je ranjivost koja je pronađena 14. listopada 2014., a koja napadaču omogućuje čitanje bilo koje šifrirane informacije korištenjem SSLv3 protokola izvođenjem napada čovjek u sredini. Iako mnogi programi koriste SSLv3 kao zamjenu, došlo je do točke u kojoj bi ga trebalo onemogućiti – jer se mnogi klijenti mogu prisiliti na korištenje SSLv3. Prisiljavanje klijenta na SSLv3 povećava mogućnost napada. Ovaj članak će vam pokazati kako onemogućiti SSLv3 u odabranim softverskim aplikacijama koje se danas najčešće koriste.
Idite na konfiguracijsku datoteku u kojoj su pohranjeni podaci o vašem poslužitelju. Na primjer, /etc/nginx/sites-enabled/ssl.example.com.conf(zamjena puta u skladu s vašom konfiguracijom). Unutar datoteke potražite ssl_protocols. Provjerite postoji li ovaj redak i odgovara li sljedećem:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
To će nametnuti upotrebu TLS-a, čime će se onemogućiti SSLv3 (i svi stariji ili zastarjeli protokoli). Sada ponovno pokrenite svoj Nginx poslužitelj pokretanjem jedne od sljedećih naredbi.
CentOS 7 :
systemctl restart nginx
Ubuntu/Debian :
service nginx restart
Da biste onemogućili SSLv3, idite na direktorij konfiguracije modula za Apache. Na Ubuntu/Debianu može biti /etc/apache2/mod-available. Dok se na CentOS-u može nalaziti u /etc/httpd/conf.d. Potražite ssl.confdatoteku. Otvorite ssl.confi pronađite SSLProtocoldirektivu. Provjerite postoji li ovaj redak i odgovara li sljedećem:
SSLProtocol all -SSLv3 -SSLv2
Kada završite, spremite, a zatim ponovno pokrenite poslužitelj pokretanjem jedne od sljedećih naredbi.
Za pokretanje Ubuntu/Debiana:
CentOS 7 :
systemctl restart httpd
Ubuntu/Debian :
service apache2 restart
Idite na svoj postfiximenik. Tipično je /etc/postfix/. Otvorite main.cfdatoteku i potražite smtpd_tls_mandatory_protocols. Provjerite postoji li ovaj redak i odgovara li sljedećem:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
To će prisiliti TLSv1.1 i TLSv1.2 da budu omogućeni i korišteni na vašem Postfix poslužitelju. Kada završite, spremite i ponovno pokrenite.
CentOS 7 :
systemctl restart postfix
Ubuntu/Debian :
service postfix restart
Otvorite datoteku koja se nalazi na /etc/dovecot/conf.d/10-ssl.conf. Zatim pronađite redak koji sadrži ssl_protocolsi provjerite odgovara li sljedećem:
ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2
Kada završite, spremite i ponovno pokrenite Dovecot.
CentOS 7 :
systemctl restart dovecot
Ubuntu/Debian :
service dovecot restart
Da biste provjerili je li SSLv3 onemogućen na vašem web poslužitelju, pokrenite sljedeću naredbu (zamijenite domenu i IP u skladu s tim):
openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3
Vidjet ćete izlaz sličan sljedećem:
CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1414181774
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Ako želite potvrditi da vaš poslužitelj koristi TLS, pokrenite istu naredbu, ali bez -ssl3:
openssl s_client -servername example.com -connect 0.0.0.0:443
Trebali biste vidjeti prikazane slične informacije. Pronađite Protocolliniju i potvrdite da se koristi TLSv1.X(pri čemu je X 1 ili 2, ovisno o vašoj konfiguraciji). Ako vidite ovo, onda ste uspješno onemogućili SSLv3 na svom web poslužitelju.
Umjetna inteligencija nije u budućnosti, ovdje je upravo u sadašnjosti. U ovom blogu Pročitajte kako su aplikacije umjetne inteligencije utjecale na različite sektore.
Jeste li i vi žrtva DDOS napada i zbunjeni ste metodama prevencije? Pročitajte ovaj članak kako biste riješili svoje upite.
Možda ste čuli da hakeri zarađuju mnogo novca, ali jeste li se ikada zapitali kako zarađuju toliki novac? raspravimo.
Želite li vidjeti revolucionarne izume Googlea i kako su ti izumi promijenili život svakog čovjeka danas? Zatim čitajte na blogu kako biste vidjeli Googleove izume.
Koncept samovozećih automobila koji će krenuti na ceste uz pomoć umjetne inteligencije san je koji već neko vrijeme imamo. No, unatoč nekoliko obećanja, nigdje ih nema. Pročitajte ovaj blog kako biste saznali više…
Kako se znanost razvija velikom brzinom, preuzimajući mnoge naše napore, raste i rizik da se podvrgnemo neobjašnjivoj Singularnosti. Pročitajte što bi za nas mogla značiti singularnost.
Pročitajte blog kako biste na najjednostavniji način upoznali različite slojeve u arhitekturi velikih podataka i njihove funkcionalnosti.
Metode pohrane podataka su se razvijale možda od rođenja podataka. Ovaj blog pokriva evoluciju pohrane podataka na temelju infografike.
U ovom digitalnom svijetu, pametni kućni uređaji postali su ključni dio života. Evo nekoliko nevjerojatnih prednosti pametnih kućnih uređaja o tome kako naš život čine vrijednim življenja i jednostavnijim.
Nedavno je Apple izdao macOS Catalina 10.15.4 dodatak ažuriranju kako bi riješio probleme, ali čini se da ažuriranje uzrokuje više problema koji dovode do zalijevanja mac strojeva. Pročitajte ovaj članak da biste saznali više
