Исследователи безопасности Google представили информацию о новом виде атаки POODLE, которая позволяет злоумышленнику получить конфиденциальные данные пользователя при работе с сайтом (сервисом) по протоколу SSLv3.
Атака POODLE (Padding Oracle On Downgraded Legacy Encryption) позволяет получить доступ к содержимому отдельных идентификаторов (в том числе Cookies), передаваемых внутри зашифрованного SSLv3-соединения. Подвержен атаке POODLE любой сайт, использующий для соединения с пользователями SSLv3.
В связи с этим, рекомендуется полностью отключить использование SSLv3 как на сервере так и на клиенте.
Как защититься от новой уязвимости?
Разработчики популярного бразуера Mozilla Firefox уже сообщили о намерении отключить поддержку SSLv3 в новой версии браузера. Для отключения поддержки SSLv3 в браузерах Mozilla Firefox выпущено специальное дополнение: https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/ . Кроме этого, можно отключить в настройках Mozilla Firefox SSLv3, для этого в адресной строке введите: about:config , далее в поиской строке введите security.tls.version.min и установите значение 1.
Чтобы отключить SSLv3 в браузере Google Chrome:
1. Нажмите правой кнопкой на ярлыке браузера и выберите пункт “Свойства”
2. В строке “Объект” у будет строка вида “”C:\Program Files (x86)\Google\Chrome\Application\chrome.exe”” , в конце этой строки добавьте параметр –ssl-version-min=tls1
Чтобы отключить SSLv3 в Internet Explorer, в настройках браузера, раздел Безопасность – уберите галочку возле SSLv3.
Для отключения SSLv3 в других браузерах воспользуйтесь инструкцией: https://zmap.io/sslv3/browsers.html
Для отключения SSLv3 на стороне веб-сервера:
Для nginx необходимо переопределить переменные ssl_protocols
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Детали: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
Для apache2 (если используется модуль ssl) необходимо переопределить SSLProtocol:
SSLProtocol All -SSLv2 -SSLv3
Детали: https://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
Полезные ссылки:
Детальная информация об атаке: http://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability , https://www.imperialviolet.org/2014/10/14/poodle.html
Онлайн-проверка сервера на уязвимость: http://poodlebleed.com/
Онлайн-проверка браузера на уязвимость: https://www.poodletest.com/
