Google 宣布了SSLv3协议中的一个漏洞
…允许安全连接的明文由networking攻击者计算。
此漏洞被命名为CVE-2014-3566 ,市场名称为POODLE。
如果我有一个网站在https://www.example.com/ ,我怎么知道这个漏洞是否影响到我?
随着POODLE的出现,SSLv3使用的所有密码套件都已经被破坏,并且该协议应该被认为是无法挽回的破坏。
curl(1)
可以检查您的网站是否可以通过SSLv3访问:
curl -v -3 -X HEAD https://www.example.com
-v
参数打开详细输出, -3
强制curl使用SSLv3, -X HEAD
限制成功连接的输出。
如果你不是脆弱的,你不应该能够连接,你的输出应该是这样的:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
如果你是脆弱的,你应该看到正常的连接输出,包括行:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
这不仅仅是通过SSL提供的网站。 Mail,IRC和LDAP是通过安全连接可用的三个服务示例,并且在接受SSLv3连接时同样易受POODLE影响。
要使用SSLv3连接到服务,可以使用openssl(1)
s_client(1)
命令:
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connect
参数使用hostname:port
参数, -ssl3
参数将协议版本限制为协商到SSLv3,并且在/dev/null
对STDIN
pipe道pipe理后立即终止连接。
如果连接成功,则启用SSLv3; 如果你得到一个ssl handshake failure
那么它不是。
关于安全SE有一个很好的问题和答案: https : //security.stackexchange.com/questions/70719/ssl3-poodle-vournerability
如果你想做一个快速检查,请进入下面的URL。 它能很好地跟上SSL的所有事情,包括检查POODLE。