Poodlebleed: kritická chyba ve starém SSL 3.0

Poodlebleed: kritická chyba ve starém SSL 3.0

Trojice zaměstnanců Googlu objevila další závažnou bezpečnostní chybu, která je přítomna ve starší a nepříliš používané verzi protokolu SSL 3.0. Chyba byla pojmenována jako Poodlebleed (Padding Oracle On Downgraded Legacy Encryption) a za pro útočníka ideálních podmínek umožňuje získat obsah cookies protistrany. Samotné provedení útoku je poměrně komplikované, podrobnosti naleznete ve zprávě od objevitelů chyby (PDF).

SSL 3.0 už dávno nahradily pokročilejší protokoly jako TLS, ale mnohdy je stále podporováno. Útočník tak může software oběti zmanipulovat tak, aby si myslel, že komunikaci přes TLS není možné navázat a donutí ho komunikovat po starším SSL 3.0. Autoři navrhují celkem přímočaré řešení, a to komunikaci přes SSL 3.0 úplně zakázat. Google už tak v prohlížeči Chrome aktualizací učinil. Na webu PoodleBleed.com také můžete zkontrolovat, zda je vybraný server zranitelný.

 

Zabezpečení serverů eABM

Naši technici provedli kontrolu všech páteřních, ale i sekundárních serverů. Na serverech, které obsahovali tuto zranitelnost jsme tyto knihovny zabezpečili a servery tyto chybu již neobsahují.

 

Kontrola Vašich serverů

Otestovat, zda na Vašem serveru je SSL 3.0 je velice jednoduché a existuje několik způsobů:

1. pomocí OpenSSL klienta

openssl s_client -connect <server>:<port> -ssl3

2. pomocí NMAP

nmap --script ssl-enum-ciphers -p 443 myhostname.tld

 

Zabezpečení Vašich serverů

Vaše servery lze jednoduše zabezpečit tím, že protokol SSL3 vypnete ve všech službách, které je využívají ( webové servery, poštovní servery ). Pokud s touto úpravou budete potřebovat pomoct, můžete se obráti na naše specialisty na emailu helpdesk@eabm.cz nebo tel. na 558 644 011.

Sdílet článek:

Novinky eABM

Novinky nejen ze světa IT
Václav Dobiáš | 16. únor 2020

Pro známý Beskydský pivovárek jsme dodali online prodejní systém pro prodej pivního merche a vstupenek nejen na kulturní akce. 

Tomáš Musil | 14. únor 2020

V reakci na zvýšený počet útoků na počítačové systémy nabízíme nově kurz “Kybernetické bezpečnosti” určený pro všechny uživatele počítačů. I přesto, že se neustále zvyšuje technické zabezpečení, největším rizikem zůstává uživatel, který z důvodu neznalosti problematiky může například spustit nebezpečný script, díky kterému budou vaše data odcizeny nebo zašifrovány. I proto dle statistik je 80% bezpečnostních incidentů způsobeno lidskou chybou. 

Václav Dobiáš | 9. únor 2020

Reklamní agentura informovala klienta, u zcela nového webu, že ukončuje webové služby a web je třeba převést pod jinou společnost. To vše za 30 dní. I přes spoustu problémů se nám to však podařilo a web massag.com nyní běží na našem redakčním systému