Ostatnio jakby większy wysyp poważniejszych błędów związanych z działaniem serwerów WWW. Raptem „chwile temu” mieliśmy dziurę w Basku (Shellshock), a niewiele wcześniej błąd w OpenSSL (Heartbleed). Teraz ponownie problem z SSL, tym razem ktoś chyba spuścił ze smyczy pudla – a co groźniejsze – bez kagańca…
Spis treści w artykule [rozwiń]
POODLE – Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566)
Nie będę się rozpisywał nad tym na czym polega błąd – takie informacje znajdziecie aktualnie chyba nawet w serwisach plotkarskich – nie będę wymieniał ich nazw, ale szczególnie jeden kojarzy mi się z problemem… ;-)
O ataku na SSLv3 (bo tej wersji dotyczy opublikowana dziura) poinformowało Google, a odkrywcy dziury to:
- Bodo Möller
- Thai Duong
- Krzysztof Kotowicz
Zabezpieczamy serwer oparty o webserwer Nginx
Jeśli korzystacie z webserwera Nginx zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.
Znajdujecie linijki zaczynające się od:
ssl_protocols
ssl_ciphers
ssl_prefer_server_ciphersI zmieniacie je (lub dodajecie gdy którejś brakuje) na:
ssl_protocols TLSv1.1 TLSv1.2;
#ALT:
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers on;Możecie też dokonać modyfikacji globalnej, edytując plik:
sudo nano /etc/nginx/nginx.confSzukacie linijki zaczynającej się od:
ssl_protocolsI zmieniacie na:
ssl_protocols TLSv1.1 TLSv1.2;Na koniec restart ustawień:
nginx -t && service nginx reloadZabezpieczamy serwer oparty o webserwer Apache2
Jeśli korzystacie z webserwera Apache2 zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.
Znajdujecie linijki zaczynające się od:
SSLProtocol
SSLCipherSuite
SSLHonorCipherOrderI zmieniacie je (lub dodajecie gdy którejś brakuje) na:
SSLProtocol +TLSv1.1 +TLSv1.2
# ALT:
#SSLProtocol all -SSLv2 -SSLv3 -TLSv1
# ALT2:
#SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLHonorCipherOrder onMożecie też dokonać modyfikacji globalnej, edytując plik:
sudo nano /etc/apache2/mods-available/ssl.confSzukacie linijki zaczynającej się od:
SSLProtocolI zmieniacie na:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1Na koniec restart ustawień:
sudo service apache2 restartCloudflare i Universal SSL
Windows i Sandworm
Przy okazji - jeśli ktoś z Was jeszcze tego nie zrobił - szybko aktualizujemy komputery pracujące pod kontrolę systemu Windows (dla odmiany ;-)), bo pojawiła się groźna dziura - Sandworm, która jest już skutecznie wykorzystywana...
Co ciekawe - problem dotyczy wszystkich wersji systemu Windows powyżej Windowsa XP, którego akurat problem nie dotyczy.
Pasjonat nowych technologii - od sprzętu po oprogramowanie, od serwerów po smartfony i rozwiązania IoT. Potencjalnie kiepski bloger, bo nie robi zdjęć "talerza" zanim zacznie jeść.
Dumny przyjaciel swoich psów :-)
- Wtyczka BackWPup w wersji 5.x to doskonały przykład, jak wylać dziecko z kąpielą i z relatywnie świetnego narzędzia zrobić właściwie bezwartościowego gniota - 1970-01-01
- Testowy przelew w Bitcoinach z najniższą prowizją, czyli krótka historia o tym, jak zamroziłem BTC na (ponad) rok - 1970-01-01
- Nowy system kopii zapasowych w Home Assistant 2025.1 to zapewne krok w dobrym kierunku, ale zdecydowanie przedwczesny - 1970-01-01
serwer oparty o Apache2 i/lub Nginx przed „pudlem” (POODLE CVE-2014-3566))
