¿Cómo puedo saber si mi sitio web es vulnerable a CVE-2014-3566 (POODLE)?

14

Google anunció una vulnerabilidad en el protocolo SSLv3 que

... permite que un atacante de red calcule el texto sin formato de conexiones seguras.

Esta vulnerabilidad recibió la designación CVE-2014-3566 y el nombre comercial POODLE.

Si tengo un sitio web en ` https://www.example.com/ , ¿cómo puedo saber si esta vulnerabilidad me afecta?

security https Jason Owen
fuente

Respuestas:

17

SSLv3 está roto

Con la llegada de POODLE, todas las suites de cifrado utilizadas por SSLv3 se han visto comprometidas, y el protocolo debe considerarse irreparablemente roto.

Sitios web

Puede verificar si su sitio web está disponible a través de SSLv3 con curl(1):

curl -v -3 -X HEAD https://www.example.com

El -vargumento activa la salida detallada, -3obliga a curl a usar SSLv3 y -X HEADlimita la salida en una conexión exitosa.

Si no eres vulnerable, no deberías poder conectarte, y tu salida debería verse así:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Si es vulnerable, debería ver una salida de conexión normal, incluida la línea:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Otros servicios

No solo los sitios web están disponibles a través de SSL. Mail, irc y LDAP son tres ejemplos de servicios disponibles a través de conexiones seguras, y son igualmente vulnerables a POODLE cuando aceptan conexiones SSLv3.

Para conectarse a un servicio usando SSLv3, puede usar el comando:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

El -connectargumento toma un hostname:portparámetro, el -ssl3argumento limita las versiones de protocolo negociados a SSLv3, y la tubería en /dev/nullque STDINinmediatamente termina la conexión después de abrirlo.

Si se conecta correctamente, SSLv3 está habilitado; si obtienes un ssl handshake failureentonces no lo es.

Ver también

Hay una excelente pregunta y respuesta sobre Security SE: /security/70719/ssl3-poodle-vulnerability

Jason Owen
fuente
No está claro para mí que curlla -vbandera tenga una discusión; ¿Puedes confirmar lo que escribiste arriba? O si eso requiere una versión particular de curl, sería útil saberlo también.
MadHatter
2
@MadHatter: No, son dos argumentos -v y -3 combinados en uno. Sin embargo, parece "v3".
Andrew Schulman
1
Gracias, la aclaración es muy apreciada! Supongo que casi cualquier cosa de la forma SSL .*connection using .*_WITH_.*equivale al fracaso.
MadHatter
@MadHatter perdón por la confusión, he actualizado la respuesta para que sea más clara.
Jason Owen
2

Si desea hacer una verificación rápida, diríjase a la URL a continuación. Hace un trabajo bastante bueno al mantenerse al día con todo lo relacionado con SSL, incluida la comprobación de POODLE.

https://www.ssllabs.com/ssltest/

rvh
fuente
1
Si bien el enlace puede tener información útil, los enlaces se rompen, lo que lo hace inútil para futuros visitantes. Agregar más información del enlace podría mejorar esta respuesta
Dave M