मैं कैसे बता सकता हूं कि मेरी वेबसाइट CVE-2014-3566 (POODLE) के लिए असुरक्षित है?

14

Google ने SSLv3 प्रोटोकॉल में भेद्यता की घोषणा की

... एक नेटवर्क हमलावर द्वारा गणना की जाने वाली सुरक्षित कनेक्शन के प्लेटेक्स्ट की अनुमति देता है।

इस भेद्यता को पदनाम CVE-2014-3566 और मार्केटिंग नाम POODLE दिया गया है।

यदि मेरे पास ` https://www.example.com/ पर एक वेबसाइट है , तो मुझे कैसे पता चलेगा कि क्या यह भेद्यता मुझे प्रभावित करती है?

security  https 
जेसन ओवेन
स्रोत

जवाबों:

17

SSLv3 टूटा हुआ है

POODLE के आगमन के साथ, SSLv3 द्वारा उपयोग किए जाने वाले सभी सिफर सुइट्स के साथ समझौता किया गया है, और प्रोटोकॉल को अपूरणीय रूप से टूटना माना जाना चाहिए।

वेबसाइटें

आप जाँच सकते हैं कि आपकी वेबसाइट SSLv3 के साथ उपलब्ध है या नहीं curl(1):

curl -v -3 -X HEAD https://www.example.com

-vउत्पादन वर्बोज़ पर तर्क बदल जाता है, -3बलों SSLv3 उपयोग करने के लिए कर्ल, और -X HEADएक सफल कनेक्शन पर उत्पादन सीमित करता है।

यदि आप कमजोर नहीं हैं, तो आपको कनेक्ट करने में सक्षम नहीं होना चाहिए, और आपका आउटपुट कुछ इस तरह दिखना चाहिए:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

यदि आप असुरक्षित हैं, तो आपको लाइन सहित सामान्य कनेक्शन आउटपुट देखना चाहिए:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

अन्य सेवाएं

यह सिर्फ SSL पर उपलब्ध वेबसाइटें नहीं हैं। मेल, irc, और LDAP सुरक्षित कनेक्शन के माध्यम से उपलब्ध सेवाओं के तीन उदाहरण हैं, और SSLv3 कनेक्शन स्वीकार करने पर POODLE के समान असुरक्षित हैं।

SSLv3 का उपयोग करके किसी सेवा से कनेक्ट करने के लिए, आप कमांड का उपयोग कर सकते हैं :openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

-connectतर्क एक लेता है hostname:portपैरामीटर, -ssl3तर्क SSLv3 करने पर बातचीत प्रोटोकॉल संस्करणों को सीमित करता है, और में पाइप /dev/nullको STDINतुरंत खोलने के बाद कनेक्शन समाप्त हो जाता है।

यदि आप सफलतापूर्वक कनेक्ट करते हैं, तो SSLv3 सक्षम है; यदि आपको मिलता है ssl handshake failureतो यह नहीं है।

यह सभी देखें

सुरक्षा SE पर एक उत्कृष्ट प्रश्न और उत्तर है: /security/70719/ssl3-poodle-vulnerability

जेसन ओवेन
स्रोत
यह मेरे लिए स्पष्ट नहीं कर रहा है कि curl'एस -vझंडा एक तर्क लेता है; क्या आप पुष्टि कर सकते हैं कि आपने ऊपर क्या लिखा है? या यदि इसके लिए किसी विशेष संस्करण की आवश्यकता होती है curl, तो यह जानना भी उपयोगी होगा।
मध्याह्न
2
@ आधार: नहीं, यह दो तर्क हैं -v और -3 एक में संयुक्त। हालांकि यह "v3" जैसा दिखता है।
एंड्रयू शुलमैन
1
धन्यवाद, स्पष्टीकरण बहुत सराहना की है! मैं इसे लगभग किसी भी रूप SSL .*connection using .*_WITH_.*में असफलता के बराबर मानता हूं ?
मैडहैटर
@ भ्रम के लिए माफ़ करें, मैंने उत्तर को और अधिक स्पष्ट करने के लिए अपडेट किया है।
जेसन ओवेन
2

यदि आप एक त्वरित जांच करना चाहते हैं, तो नीचे दिए गए URL पर जाएं। यह POODLE की जाँच सहित SSL, सभी चीजों को ध्यान में रखते हुए बहुत अच्छा काम करता है।

https://www.ssllabs.com/ssltest/

rvh
स्रोत
1
जबकि लिंक में उपयोगी जानकारी हो सकती है, लिंक भविष्य के आगंतुकों के लिए यह बेकार बना देते हैं। लिंक से अधिक जानकारी जोड़ने से यह उत्तर बेहतर हो सकता है
डेव एम
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.