POODLE – vulnerabilitate critică în SSLv3

Google a descoperit o vulnerabilitate critică în protocolul SSLv3, acum în vârstă de 15 ani ce permite unui atacator experimentat să extragă informații secrete dintr-o tranzacție criptată.

Explicații detaliate sunt disponibile pe site-ul StackExchange sau pe blogul Online Security de la Google.

Ce trebuie să faceți:

Având în vedere că vulnerabilitatea afectează atât serverele, cât și clienții, operațiunile de remediere trebuie efectuate atât în browsere, cât și pe servere.

Pentru securizarea pe partea de client, soluția e simplă: actualizați browserul la cea mai proaspătă versiune. Mozilla a anunțat deja că versiunea 34 va fi construită fără suport pentru SSLv3, însă până la lansare puteți folosi addon-ul SSL Version Control.

Pentru securizarea serverelor, verificați protocoalele SSL folosite și exceptați SSLv3 din configurare. De exemplu, pentru serverele Apache trebuie să aveți — pentru fiecare virtual server ce folosește SSL — directiva:

SSLProtocol All -SSLv2 -SSLv3

sau echivalentul,

SSLProtocol TLSv1

Apoi, testați implementarea SSL a serverului la https://www.ssllabs.com/ssltest.