Clicky

Ir para conteúdo

Joao Bruno

Vulnerabilidade no SSL POODLE

Posts Recomendados


APACHE

No Ubuntu, basta alterar o arquivo: 

$ sudo vi /etc/apache2/mods-available/ssl.conf 

No CentOS: 

$ sudo vi /etc/httpd/conf.d/ssl.conf 

Agora procure pela diretiva SSLProtocol, caso não exista, crie. 

 

SSLProtocol all -SSLv3 -SSLv2

Salve a modificação e reinicie o serviço do Apache. 

No Ubuntu: 

$ sudo service apache2 restart 

No CentOS: 

$ sudo service httpd restart 

 

NGINX

No Ubuntu e CentOS, basta alterar o arquivo abaixo: 

$ sudo vi /etc/nginx/nginx.conf 

Agora procure pela diretiva ssl_protocols, caso não exista, crie. 

 

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Salve a modificação e reinicie o serviço do nginx

$ sudo service nginx restart 

Compartilhar este post


Link para o post
Compartilhar em outros sites

^^ Existe Poodle para TLS também. O que foi feito acima de desativar SSLv3 é bom fazer mesmo e junto já leva o Poodle para SSL, mas o Poodle para TLS tem que resolver por escolher de bons stream ciphers. 

 

https://www.ssllabs.com/ssltest/ajuda a descobrir se o Poodle TLS te mordeu ou não. 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

Essa vulnerabilidade pode levar a ocorrer o que?

Compartilhar este post


Link para o post
Compartilhar em outros sites

Essa vulnerabilidade pode levar a ocorrer o que?

 

Comprometimento total da máquina, em o invasor conseguir o mesmo nível de permissão do usuário root. 

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante

@rubensk

 

Obrigado por tirar a duvida, cada dia mais vulnerabilidades.

 

Parece que esses sistemas ou até mesmo o Linux é mais vulnerável que o Windows. O que acha?

Compartilhar este post


Link para o post
Compartilhar em outros sites

@rubensk

 

Obrigado por tirar a duvida, cada dia mais vulnerabilidades.

 

Parece que esses sistemas ou até mesmo o Linux é mais vulnerável que o Windows. O que acha?

 

A quantidade de bugs do Windows ainda é uma ordem de grandeza maior, especialmente na schannel.dll (equivalente Windows do OpenSSL). 

 

O que aconteceu especificamente com SSL/TLS foi deixar algo muito importante na mão de poucas pessoas atoladas de trabalho e sem orçamento para contratar mais gente. Isso só se tornou evidente no Heartbleed; agora que se sabe a situação, o esforço de limpeza vai fazer aparecer muita coisa que foi feita de forma errada. 

 

Mas é notório que uma aplicação simples do princípio do mínimo privilégio teria tornado várias vulnerabilidades recém-divulgadas inócuas... tem que escolher um número pequeno de protocolos e ciphers bons, que aí reduz a chance de problemas. Quando saiu a notícia do "logjam" nem tivemos que correr atrás, pq era em ciphers já desabilitados na configuração. 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.

Visitante
Responder

×   Você colou conteúdo com formatação.   Remover formatação

  Apenas 75 emojis são permitidos.

×   Seu link foi automaticamente incorporado.   Mostrar como link

×   Seu conteúdo anterior foi restaurado.   Limpar o editor

×   Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.


  • Quem Está Navegando   0 membros estão online

    Nenhum usuário registrado visualizando esta página.



×
×
  • Criar Novo...