TurboLab.it

Il forum italiano su PC, Internet e smartphone
https://turbolab.it/forum/

[Bug] Vulnerabilità POODLE (SSLv3)

https://turbolab.it/forum/viewtopic.php?t=2938

Pagina 1 di 1

[Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 5:55 pm
da hashcat
Circa tredici giorni fa è stata segnalata pubblicamente la vulnerabilità POODLE che attacca l'implementazione della modalità di cifratura CBC del protocollo SSL 3. Per essere sfruttato, l'exploit richiede delle condizioni simili a quelle della vulnerabilità BEAST (MitM) ma permette di decifrare molto più velocemente di quest'ultima le informazioni riservate in transito sulla rete.

Maggiori informazioni: QUI, QUI e QUI.

L'unico vero rimedio è quello di rimuovere completamente il supporto al protocollo SLLv3 lato server (configurazione di mod_ssl in Apache).

Codice: Seleziona tutto

SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
;)

Bug #141

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 10:28 pm
da Zane
:clap

Per capire se è fattibile disattivare del tutto SSL dobbiamo valutare quali browser supportino almeno TLSv1. Questa pagina di Wikipedia sembra un buon punto di partenza quando sarà il momento valutare il bug.

Edit: la versione breve della tabella è che Chrome e Firefox supportano TLSv1 fin dalla versione 1.0 e Opera dalla 5.0. IE, che è quello che più mi preoccupava, è ok già da IE 7 in poi, anche su WinXP.

Non ho trovato indicazioni chiare per il vecchio browser stock di Android, quindi procedo alla vecchia maniera: provando e vedendo cosa succede :acch (

Edit2: la nostra configurazione era già sicura: SSLProtocol All -SSLv2 -SSLv3. Contando che, così, siamo già a posto in caso esca TLSv1.3, ho lasciato quella.

Bug chiuso. Se hai obiezioni, riapri pure :approvo

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 11:06 pm
da Zane
Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?

Riapro il bug, ma poi vado a letto. Se hai suggerimenti...

Edit: Trovato l'errore di config (mancava un commento a SSLProtocol all -SSLv2 nel file di default sotto /etc/httpd/conf.d, che noi non usiamo). Bug ri-chiuso, SSL Labs felice e ora vado davvero a letto!!

Se c'è altro, sono qui :)

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 11:11 pm
da hashcat
Zane ha scritto:Uhmm, molto strano: SSL Labs dice che SSLv3 è ancora attivo... WTF?!?!?

Riapro il bug, ma poi vado a letto. Se hai suggerimenti...
Probabilmente l'SSLv3 è disabilitato solo nella configurazione del vhost e non in quella globale (credo per la vecchia questione dell'SNI).

;)

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 11:17 pm
da Zane
Esattamente! (v. mio ultimo edit sopra)

Re: [Bug] Vulnerabilità POODLE (SSLv3)

Inviato: lun ott 27, 2014 11:20 pm
da Zane
Per completare quando dicevo sopra a futura memoria: il browser stock di Android supporta TLS almeno già dalla vecchia 2.3.7
Tutti gli orari sono UTC+02:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it