SSL v3.0 protokolo saugumo spraga

Pažeidžiamos kompiuterinės sistemos ir programos:

Visos kompiuterinės sistemos ir taikomosios programos, apsaugai naudojančios SSL protokolą (angl. Secure Socket Layer) v3.0, veikiantį blokinio šifravimo (angl. cipher-block chaining) algoritmu.

Aprašymas:

SSL - saugaus sujungimo lygmuo (angl. Secure Sockets Layer) t.y. kriptografinis protokolas, skirtas informacijos, sklindančios internete apsaugojimui šifruojant. SSL protokolas naudojamas interneto naudotojo programinės įrangos ir tarnybinės stoties programinės įrangos komunikacijos šifravimui. SSL protokolas dažniausiai naudojamas interneto svetainėse, siekiant užtikrinti visos puslapiuose įvedamos informacijos privatumą ir saugumą.

SSL v3.0 protokolo blokinio šifravimo algoritmo aptikta saugumo spraga ("POODLE attack”), piktavaliui suteikia galimybę vykdyti „Man in the middle“ ataką ir tokiu būdų iššifruoti sujungimą, bei periimti visus perduodamus interneto naudotojo duomenis.

CERT-LT rekomenduoja:

a) išjungti SSL v3.0 protokolo palaikymą, tokiu atveju bus naudojamos senesnės SSL protokolo versijos;
b) naudoti kitą šifravimo algoritmą SSL v3.0 protokole;
c) atnaujinti SSL v3.0 tarnybinių stočių programinę įrangą, kad palaikytų SCSV protokolą. Ši saugumo spraga nebus išnaudojama tik tuo atveju jei vartotojo programinė įranga ir tarnybinės stoties programinė įranga palaikys SCSV protokolą.
 

SSL v3.0 palaikymo išjungimas interneto naršyklėse

Firefox:
  1. surinkti naršyklės adreso laukelyje: about:config;
  2. pasirinkti security.tls.version.min;
  3. spausti modifikuoti (angl. Modify) ir nustatyti reikšmę 1.
Šis metodas leis naršyklei naudoti tik šiuos protokolus TLSv1, TLSv1.1 and TLSv1.2. SSL v3.0 pagal nutylėjimą bus išjungtas naršyklėje Firefox 34 ir naujesnėse versijose. Taip pat galima įsidiegti naršyklės įskiepį (angl. plugin) “SSL Version Control”.

Thunderbird:
  1. atidaryti Thunderbird nustatymus “Preferences”;
  2. spausti “Advanced button”;
  3. spausti “Config Editor”;
  4. pasirinkti security.tls.version.min;
  5. spausti “Modify” ir nustatyti reikšmę 1.

Internet Explorer:
  1. atsidaryti “Setting menu”;
  2. pasirinkti “Internet Options”;
  3. spausti ant “Advanced tab”;
  4. ties SSLv3 nuiimti varnelę.

Safari:
  1. Įsidiegti naujausius„ Apple“ išleistus atnaujinimus.
 

SSL v3.0 palaikymo išjungimas tarnybinėse stotyse

“Apache” HTTP tarnybinė stotis:
Tarnybinės stoties ssl konfigūraciniame faile pridėti nenaudojamus protokolus:
SSLProtocol All -SSLv2 -SSLv3;

Nginx HTTP:
Tarnybinės stoties ssl konfigūraciniame faile pridėti naudojama ssl protokolų sąrašą:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Postfix SMTP:
Tarnybinės stoties main.cf konfigūraciniame faile pridėti šią eilutę:
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3;

Microsoft IIS Internet Information Server:
Tarnybinės stoties registre atlikti šios pakeitimus:
HKey_Local_MachineSystemCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL 3.0Server ties raktu “Enabled” nustatyti reikšmę 0.


Įrankiai patikrinimui:

Naršyklės POODLE saugumo spragos patikrai: https://www.poodletest.com/
Tarnybinės stoties patikrai: https://www.ssllabs.com/

Informacijos šaltiniai:

SSL 3.0 Protocol Vulnerability and POODLE Attack
This POODLE Bites: Exploiting The SSL 3.0 Fallback

Visos rekomendacijos