Google 宣布了SSLv3协议中的一个漏洞
...允许网络攻击者计算安全连接的明文。
该漏洞的名称为CVE-2014-3566,市场名称为POODLE。
如果我在` https://www.example.com/上有一个网站,如何确定此漏洞是否对我造成影响?
Google 宣布了SSLv3协议中的一个漏洞
...允许网络攻击者计算安全连接的明文。
该漏洞的名称为CVE-2014-3566,市场名称为POODLE。
如果我在` https://www.example.com/上有一个网站,如何确定此漏洞是否对我造成影响?
Answers:
随着POODLE的到来,SSLv3所使用的所有密码套件都已遭到破坏,并且该协议应被视为不可修复的破坏。
您可以使用以下命令通过SSLv3检查您的网站是否可用curl(1):
curl -v -3 -X HEAD https://www.example.com
该-v参数打开详细输出,-3强制curl使用SSLv3,并在-X HEAD成功连接时限制输出。
如果您不容易受到攻击,则应该无法连接,并且输出应如下所示:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
如果您容易受到攻击,则应该看到正常的连接输出,包括以下行:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
通过SSL可以访问的不仅仅是网站。邮件,irc和LDAP是可通过安全连接使用的服务的三个示例,当它们接受SSLv3连接时,同样容易受到POODLE的攻击。
要使用SSLv3连接到服务,可以使用以下命令:openssl(1) s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
所述-connect参数使用hostname:port参数,所述-ssl3参数限制协商到的SSLv3的协议版本,并在管道/dev/null到STDIN立即终止打开它之后的连接。
如果连接成功,则启用SSLv3。如果得到一个ssl handshake failure则不是。
在安全SE上有一个很好的问答:https : //security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
SSL .*connection using .*_WITH_.*失败都等于失败吗?
如果要进行快速检查,请转到下面的URL。它能够很好地满足SSL的所有要求,包括检查POODLE。
curl的-vflag是否接受论点。你能确认你上面写的吗?或者,如果需要的特定版本curl,那也很有用。