Wie kann ich feststellen, ob meine Website für CVE-2014-3566 (POODLE) anfällig ist?

14

Google kündigte eine Sicherheitslücke im SSLv3-Protokoll an

... ermöglicht es einem Netzwerkangreifer, den Klartext sicherer Verbindungen zu berechnen.

Diese Sicherheitsanfälligkeit wurde mit der Bezeichnung CVE-2014-3566 und dem Marketingnamen POODLE versehen.

Wie kann ich feststellen, ob diese Sicherheitsanfälligkeit mich betrifft, wenn ich eine Website unter https://www.example.com/ habe?

security https Jason Owen
quelle

Antworten:

17

SSLv3 ist fehlerhaft

Mit dem Aufkommen von POODLE wurden alle von SSLv3 verwendeten Chiffresuiten kompromittiert, und das Protokoll sollte als irreparabel beschädigt angesehen werden.

Webseiten

Sie können überprüfen, ob Ihre Website über SSLv3 verfügbar ist curl(1):

curl -v -3 -X HEAD https://www.example.com

Das -vArgument aktiviert die ausführliche Ausgabe, -3erzwingt die Verwendung von SSLv3 und -X HEADbegrenzt die Ausgabe für eine erfolgreiche Verbindung.

Wenn Sie nicht verwundbar sind, sollten Sie keine Verbindung herstellen können und Ihre Ausgabe sollte ungefähr so ​​aussehen:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Wenn Sie anfällig sind, sollten Sie die normale Verbindungsausgabe sehen, einschließlich der folgenden Zeile:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Andere Dienstleistungen

Es sind nicht nur Websites, die über SSL verfügbar sind. Mail, IRC und LDAP sind drei Beispiele für Dienste, die über gesicherte Verbindungen verfügbar sind. Sie sind ebenfalls für POODLE anfällig, wenn sie SSLv3-Verbindungen akzeptieren.

Um über SSLv3 eine Verbindung zu einem Dienst herzustellen, können Sie den folgenden Befehl verwenden:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

Das -connectArgument nimmt einen hostname:portParameter, der -ssl3begrenzt Argument der Protokollversionen zu SSLv3 ausgehandelt und in Rohrleitungen , /dev/nullum STDINsofort beendet die Verbindung nach dem Öffnen.

Wenn Sie erfolgreich eine Verbindung herstellen, ist SSLv3 aktiviert. wenn du eine bekommst ssl handshake failuredann ist es nicht.

Siehe auch

Auf der Security SE gibt es eine ausgezeichnete Frage und Antwort: /security/70719/ssl3-poodle-vulnerability

Jason Owen
quelle
Mir ist nicht klar, dass curldie -vFlagge ein Argument enthält. Kannst du bestätigen, was du oben geschrieben hast? Oder wenn das eine bestimmte Version von erfordert curl, wäre das auch nützlich zu wissen.
MadHatter
2
@ MadHatter: Nein, das sind zwei Argumente -v und -3 in einem. Es sieht allerdings wie "v3" aus.
Andrew Schulman
1
Danke, die Klarstellung wird sehr geschätzt! Ich nehme an, fast alles in der Form SSL .*connection using .*_WITH_.*entspricht dem Scheitern.
MadHatter
@MadHatter Entschuldigung für die Verwirrung, ich habe die Antwort aktualisiert, um klarer zu sein.
Jason Owen
2

Wenn Sie eine schnelle Überprüfung durchführen möchten, rufen Sie die unten stehende URL auf. Es macht einen ziemlich guten Job, um mit allen SSL-Dingen Schritt zu halten, einschließlich der Überprüfung auf POODLE.

https://www.ssllabs.com/ssltest/

rvh
quelle
1
Während der Link nützliche Informationen enthalten kann, brechen die Links und machen sie für zukünftige Besucher unbrauchbar. Das Hinzufügen weiterer Informationen über den Link könnte diese Antwort verbessern
Dave M