Ostatnio jakby większy wysyp poważniejszych błędów związanych z działaniem serwerów WWW. Raptem “chwile temu” mieliśmy dziurę w Basku (Shellshock), a niewiele wcześniej błąd w OpenSSL (Heartbleed). Teraz ponownie problem z SSL, tym razem ktoś chyba spuścił ze smyczy pudla – a co groźniejsze – bez kagańca…
Spis treści w artykule
POODLE – Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566)
Nie będę się rozpisywał nad tym na czym polega błąd – takie informacje znajdziecie aktualnie chyba nawet w serwisach plotkarskich – nie będę wymieniał ich nazw, ale szczególnie jeden kojarzy mi się z problemem… ;-)
O ataku na SSLv3 (bo tej wersji dotyczy opublikowana dziura) poinformowało Google, a odkrywcy dziury to:
- Bodo Möller
- Thai Duong
- Krzysztof Kotowicz
Zabezpieczamy serwer oparty o webserwer Nginx
Jeśli korzystacie z webserwera Nginx zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.
Znajdujecie linijki zaczynające się od:
ssl_protocols
ssl_ciphers
ssl_prefer_server_ciphersI zmieniacie je (lub dodajecie gdy którejś brakuje) na:
ssl_protocols TLSv1.1 TLSv1.2;
#ALT:
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers on;Możecie też dokonać modyfikacji globalnej, edytując plik:
sudo nano /etc/nginx/nginx.confSzukacie linijki zaczynającej się od:
ssl_protocolsI zmieniacie na:
ssl_protocols TLSv1.1 TLSv1.2;Na koniec restart ustawień:
nginx -t && service nginx reloadZabezpieczamy serwer oparty o webserwer Apache2
Jeśli korzystacie z webserwera Apache2 zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.
Znajdujecie linijki zaczynające się od:
SSLProtocol
SSLCipherSuite
SSLHonorCipherOrderI zmieniacie je (lub dodajecie gdy którejś brakuje) na:
SSLProtocol +TLSv1.1 +TLSv1.2 # ALT: #SSLProtocol all -SSLv2 -SSLv3 -TLSv1 # ALT2: #SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2 SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS SSLHonorCipherOrder on
Możecie też dokonać modyfikacji globalnej, edytując plik:
sudo nano /etc/apache2/mods-available/ssl.confSzukacie linijki zaczynającej się od:
SSLProtocolI zmieniacie na:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1Na koniec restart ustawień:
sudo service apache2 restartCloudflare i Universal SSL
Windows i Sandworm
Przy okazji - jeśli ktoś z Was jeszcze tego nie zrobił - szybko aktualizujemy komputery pracujące pod kontrolę systemu Windows (dla odmiany ;-)), bo pojawiła się groźna dziura - Sandworm, która jest już skutecznie wykorzystywana...
Co ciekawe - problem dotyczy wszystkich wersji systemu Windows powyżej Windowsa XP, którego akurat problem nie dotyczy.
| Lub postaw nam kawę :-)
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Opcja “restore_from_flash”, czyli sposób na zapamiętywanie ustawień w ESPHome na układach ESP8266 - 1970-01-01
- Blokowe szablony powiadomień (block notice) w WooCommerce, nawet w klasycznych motywach - 1970-01-01
- Poznaj aplikację DroneTower, czyli nowy (i teoretycznie obecnie jedyny) sposób zgłaszania lotów dronami - 1970-01-01
