Comment savoir si mon site Web est vulnérable à CVE-2014-3566 (POODLE)?

14

Google a annoncé une vulnérabilité dans le protocole SSLv3 qui

... permet au texte en clair des connexions sécurisées d'être calculé par un attaquant du réseau.

Cette vulnérabilité a reçu la désignation CVE-2014-3566 et le nom commercial POODLE.

Si j'ai un site Web à ` https://www.example.com/ , comment puis-je savoir si cette vulnérabilité me concerne?

security https Jason Owen
la source

Réponses:

17

SSLv3 est cassé

Avec l'avènement de POODLE, toutes les suites de chiffrement utilisées par SSLv3 ont été compromises et le protocole doit être considéré comme irrémédiablement rompu.

Sites Internet

Vous pouvez vérifier si votre site Web est disponible sur SSLv3 avec curl(1):

curl -v -3 -X HEAD https://www.example.com

L' -vargument active la sortie détaillée, -3force curl à utiliser SSLv3 et -X HEADlimite la sortie sur une connexion réussie.

Si vous n'êtes pas vulnérable, vous ne devriez pas pouvoir vous connecter et votre sortie devrait ressembler à ceci:

* SSL peer handshake failed, the server most likely requires a client certificate to connect

Si vous êtes vulnérable, vous devriez voir une sortie de connexion normale, y compris la ligne:

* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL

Autres services

Ce ne sont pas seulement les sites Web qui sont disponibles via SSL. Mail, irc et LDAP sont trois exemples de services disponibles via des connexions sécurisées et sont également vulnérables à POODLE lorsqu'ils acceptent les connexions SSLv3.

Pour vous connecter à un service à l'aide de SSLv3, vous pouvez utiliser la commande:openssl(1) s_client(1)

openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null

L' -connectargument prend un hostname:portparamètre, l' -ssl3argument limite les versions de protocole négociées à SSLv3 et la canalisation /dev/nullpour STDINmettre immédiatement fin à la connexion après l'avoir ouverte.

Si vous vous connectez avec succès, SSLv3 est activé; si vous en obtenez un, ssl handshake failurece n'est pas le cas.

Voir également

Il y a une excellente question et réponse sur Security SE: /security/70719/ssl3-poodle-vulnerability

Jason Owen
la source
Ce n'est pas clair pour moi que curlle -vdrapeau prend un argument; pouvez-vous confirmer ce que vous avez écrit ci-dessus? Ou si cela nécessite une version particulière de curl, il serait utile de le savoir également.
MadHatter
2
@MadHatter: Non, ce sont deux arguments -v et -3 combinés en un seul. Cela ressemble à "v3".
Andrew Schulman
1
Merci, la clarification est très appréciée! Je suppose que presque tout ce que la forme SSL .*connection using .*_WITH_.*équivaut à un échec?
MadHatter
@MadHatter désolé pour la confusion, j'ai mis à jour la réponse pour être plus clair.
Jason Owen du
2

Si vous souhaitez effectuer une vérification rapide, accédez à l'URL ci-dessous. Il fait un très bon travail en suivant toutes les choses SSL, y compris la vérification de POODLE.

https://www.ssllabs.com/ssltest/

rvh
la source
1
Bien que le lien puisse contenir des informations utiles, les liens se brisent, ce qui les rend inutiles aux futurs visiteurs. Ajouter plus d'informations à partir du lien pourrait améliorer cette réponse
Dave M