[Bug] Vulnerabilità POODLE (SSLv3)

Ti piacciono il sito e la community? Questo è il posto giusto per lasciare commenti, suggerimenti e... critiche.
Regole del forum
Rispondi
Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

[Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da hashcat »

Circa tredici giorni fa è stata segnalata pubblicamente la vulnerabilità POODLE che attacca l'implementazione della modalità di cifratura CBC del protocollo SSL 3. Per essere sfruttato, l'exploit richiede delle condizioni simili a quelle della vulnerabilità BEAST (MitM) ma permette di decifrare molto più velocemente di quest'ultima le informazioni riservate in transito sulla rete.

Maggiori informazioni: QUI, QUI e QUI.

L'unico vero rimedio è quello di rimuovere completamente il supporto al protocollo SLLv3 lato server (configurazione di mod_ssl in Apache).

Codice: Seleziona tutto

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
;)

Bug #141
“The quieter you become, the more you can hear”

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da System » lun ott 27, 2014 5:55 pm


Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4741
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da Zane »

:clap

Per capire se è fattibile disattivare del tutto SSL dobbiamo valutare quali browser supportino almeno TLSv1. Questa pagina di Wikipedia sembra un buon punto di partenza quando sarà il momento valutare il bug.

Edit: la versione breve della tabella è che Chrome e Firefox supportano TLSv1 fin dalla versione 1.0 e Opera dalla 5.0. IE, che è quello che più mi preoccupava, è ok già da IE 7 in poi, anche su WinXP.

Non ho trovato indicazioni chiare per il vecchio browser stock di Android, quindi procedo alla vecchia maniera: provando e vedendo cosa succede :acch (

Edit2: la nostra configurazione era già sicura: SSLProtocol All -SSLv2 -SSLv3. Contando che, così, siamo già a posto in caso esca TLSv1.3, ho lasciato quella.

Bug chiuso. Se hai obiezioni, riapri pure :approvo
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4741
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da Zane »

Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?

Riapro il bug, ma poi vado a letto. Se hai suggerimenti...

Edit: Trovato l'errore di config (mancava un commento a SSLProtocol all -SSLv2 nel file di default sotto /etc/httpd/conf.d, che noi non usiamo). Bug ri-chiuso, SSL Labs felice e ora vado davvero a letto!!

Se c'è altro, sono qui :)
Zane - TurboLab.it

Avatar utente
hashcat
Livello: Storage Area Network (12/15)
Livello: Storage Area Network (12/15)
Messaggi: 1946
Iscritto il: gio mag 02, 2013 4:13 pm

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da hashcat »

Zane ha scritto:Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?

Riapro il bug, ma poi vado a letto. Se hai suggerimenti...
Probabilmente l'SSLv3 è disabilitato solo nella configurazione del vhost e non in quella globale (credo per la vecchia questione dell'SNI).

;)
“The quieter you become, the more you can hear”

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4741
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da Zane »

Esattamente! (v. mio ultimo edit sopra)
Zane - TurboLab.it

Avatar utente
Zane
Fondatore
Fondatore
Messaggi: 4741
Iscritto il: mer mag 01, 2013 11:20 am
Contatta:

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da Zane »

Per completare quando dicevo sopra a futura memoria: il browser stock di Android supporta TLS almeno già dalla vecchia 2.3.7
Zane - TurboLab.it

System
System
Bot ufficiale TurboLab.it
Bot
Messaggi:
Iscritto il: sab dic 31, 2016 6:19 pm
Contatta: Contatta

Re: Re: [Bug] Vulnerabilità POODLE (SSLv3)

Messaggio da System » lun ott 27, 2014 11:20 pm


Rispondi
  • Argomenti simili
    Risposte
    Visite
    Ultimo messaggio