Vulnerabilidade no SSL POODLE

[Joao Bruno]

Boa Noite, 

 

Estou lendo sobre a vulnerabilidade Poodle, que ataca o ssl. Não sei como arrumar em meu servidor!

Alguém sabe como faz isso?

[LeandroSA]

APACHE

No Ubuntu, basta alterar o arquivo: 

$ sudo vi /etc/apache2/mods-available/ssl.conf 

No CentOS: 

$ sudo vi /etc/httpd/conf.d/ssl.conf 

Agora procure pela diretiva SSLProtocol, caso não exista, crie. 

 

SSLProtocol all -SSLv3 -SSLv2

Salve a modificação e reinicie o serviço do Apache. 

No Ubuntu: 

$ sudo service apache2 restart 

No CentOS: 

$ sudo service httpd restart 

 

NGINX

No Ubuntu e CentOS, basta alterar o arquivo abaixo: 

$ sudo vi /etc/nginx/nginx.conf 

Agora procure pela diretiva ssl_protocols, caso não exista, crie. 

 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Salve a modificação e reinicie o serviço do nginx: 

$ sudo service nginx restart 

[rubensk]

^^ Existe Poodle para TLS também. O que foi feito acima de desativar SSLv3 é bom fazer mesmo e junto já leva o Poodle para SSL, mas o Poodle para TLS tem que resolver por escolher de bons stream ciphers. 

 

https://www.ssllabs.com/ssltest/ajuda a descobrir se o Poodle TLS te mordeu ou não. 

[Visitante]

Essa vulnerabilidade pode levar a ocorrer o que?

[rubensk]

Essa vulnerabilidade pode levar a ocorrer o que?

 

Comprometimento total da máquina, em o invasor conseguir o mesmo nível de permissão do usuário root. 

[Visitante]

@rubensk

 

Obrigado por tirar a duvida, cada dia mais vulnerabilidades.

 

Parece que esses sistemas ou até mesmo o Linux é mais vulnerável que o Windows. O que acha?

[rubensk]

@rubensk

 

Obrigado por tirar a duvida, cada dia mais vulnerabilidades.

 

Parece que esses sistemas ou até mesmo o Linux é mais vulnerável que o Windows. O que acha?

 

A quantidade de bugs do Windows ainda é uma ordem de grandeza maior, especialmente na schannel.dll (equivalente Windows do OpenSSL). 

 

O que aconteceu especificamente com SSL/TLS foi deixar algo muito importante na mão de poucas pessoas atoladas de trabalho e sem orçamento para contratar mais gente. Isso só se tornou evidente no Heartbleed; agora que se sabe a situação, o esforço de limpeza vai fazer aparecer muita coisa que foi feita de forma errada. 

 

Mas é notório que uma aplicação simples do princípio do mínimo privilégio teria tornado várias vulnerabilidades recém-divulgadas inócuas... tem que escolher um número pequeno de protocolos e ciphers bons, que aí reduz a chance de problemas. Quando saiu a notícia do "logjam" nem tivemos que correr atrás, pq era em ciphers já desabilitados na configuração. 

[Visitante]

@rubensk

 

Obrigado pelo explicativo e sabe me informar os procedimentos para cPanel?

[LeandroSA]

O cpanel a partir da versão 11.44 possui um path de segurança para essa vulnerabilidade , mais de qualquer forma , segurança nunca é demais , basta fazer os procedimentos que citei a cima, desabilitando o ssl3.