谷歌宣布SSLv3 协议中存在一个漏洞,
... 允许网络攻击者计算安全连接的明文。
该漏洞被指定为CVE-2014-3566以及营销名称 POODLE。
如果我有一个网站 `https://www.example.com/,我如何知道此漏洞是否影响我?
答案1
SSLv3 已损坏
随着 POODLE 的出现,SSLv3 使用的所有密码套件均已被破解,并且该协议应被视为无法修复的损坏。
网站
您可以使用以下方式检查您的网站是否可通过 SSLv3 访问curl(1):
curl -v -3 -X HEAD https://www.example.com
该-v参数打开详细输出,-3强制 curl 使用 SSLv3,并限制-X HEAD成功连接时的输出。
如果您没有受到攻击,则您应该无法连接,并且您的输出应该看起来像这样:
* SSL peer handshake failed, the server most likely requires a client certificate to connect
如果您存在漏洞,您应该会看到正常的连接输出,包括以下行:
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
其他服务
并非只有网站可通过 SSL 访问。邮件、irc 和 LDAP 是可通过安全连接访问的三种服务,当它们接受 SSLv3 连接时,同样容易受到 POODLE 攻击。
要使用 SSLv3 连接到服务,您可以使用openssl(1) s_client(1)命令:
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
该-connect参数采用一个hostname:port参数,该-ssl3参数将协商的协议版本限制为 SSLv3,并通过管道打开连接后立即/dev/null终止STDIN连接。
如果连接成功,则表示 SSLv3 已启用;如果出现 ,ssl handshake failure则表示未启用。
也可以看看
Security SE 上有一个很好的问答:https://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
答案2
如果您想快速检查,请转到下面的 URL。它可以很好地跟踪所有 SSL 信息,包括检查 POODLE。