SSL er designet til formålet at sikre data i transport hen over nettet. I traditionel webtrafik også kendt som "HTTP" er det SSL og TLS som giver os "HTTPS", men protokolen anvendes også i applikationer. TLSv1.1 og TLSv1.2 er nyere og har i dag - i modsætning til SSL2 og SSL3 fuld understøttelse og support. Langt de fleste browsere, som er frigivet i 2014, understøtter TLS.
Som vi allerede anoncerede i går er der fundet en kritisk sårbarhed i SSL3 (CVE-2014-3566). Selv om SSL3 er ganske identisk med TLSv1.0, så adskiller de sig alligevel ved at to protokoller er anderledes, og det er i disse, at dette problemet introduceres.
SSL3 har tidligere haft sikkerhedsproblemer og mange husker måske "BEAST" som faktisk aldrig blev korrigeret, men i stedet blev løst ved at migrere services og applikationer til TLS 1.1/2, eller alternativt gør brug af en stream cipher som RC4 som dog også er fejlbehæftet.
"POODLE" adskiller sig fra BEAST på flere måder, men har alligevel flere ligheder. I Poodle åbnes nemlig også op for klassiske "Man in The Middle" (MiTM) angreb, eller gør det muligt at dekryptere dele af den krypterede traffic ved at injekte data i SSL3 data strømmen. Angrebet åbner mulighed for at dekryptere 1 byte ad gangen. Ved tilstrækkelig, og vedholdende angreb, er det således muligt at knække krypteringen og læse i SSL3 trafikken. 
CSIS anbefaler, at man sender SSL3 på pension, og i stedet migrere sine servere og applikationer til at understøtte TLS1.0.
Kort sagt:
- Support TLS_FALLBACK_SCSV
- Deaktiver SSL3.0
Man kan teste om en service gør brug af SSL3 ved at anvende følgende kommando: (forudsætter at man har openssl installeret):
openssl s_client -ssl3 -connect [IP adresse / domæne]:443.
En automatiseret test kan også findes hos Qualys på adressen:
https://www.ssllabs.com/.
Apache er den mest anvendte webserver software og kan let modificere så SSL2 og SSL3 deaktivere. Man skal blot tilføje:
"SSLProtocol All -SSLv2 -SSLv3" til konfigurationen.
I følge Cloudflare er det et mininum af klienter som stadig er afhængige af SSL3. Eksempelvis understøtter kun 0.09% af deres besøgende SSL3, så det er opløftende: https://blog.cloudflare.com/sslv3-support-disabled-by-default-due-to-vulnerability/
Yderligere oplysninger:
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://googleonlinesecurity.blogspot.dk/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://access.redhat.com/articles/1232123
↧
CSIS Nyheder: Kritisk sårbarhed i SSL3 døbt Poodle
↧