Ostatnio jakby większy wysyp poważniejszych błędów związanych z działaniem serwerów WWW. Raptem „chwile temu” mieliśmy dziurę w Basku (Shellshock), a niewiele wcześniej błąd w OpenSSL (Heartbleed). Teraz ponownie problem z SSL, tym razem ktoś chyba spuścił ze smyczy pudla – a co groźniejsze – bez kagańca…

POODLE – Padding Oracle On Downgraded Legacy Encryption (CVE-2014-3566)

Nie będę się rozpisywał nad tym na czym polega błąd – takie informacje znajdziecie aktualnie chyba nawet w serwisach plotkarskich – nie będę wymieniał ich nazw, ale szczególnie jeden kojarzy mi się z problemem… ;-)

O ataku na SSLv3 (bo tej wersji dotyczy opublikowana dziura) poinformowało Google, a odkrywcy dziury to:

  • Bodo Möller
  • Thai Duong
  • Krzysztof Kotowicz

Zabezpieczamy serwer oparty o webserwer Nginx

Jeśli korzystacie z webserwera Nginx zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

ssl_protocols
ssl_ciphers
ssl_prefer_server_ciphers

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

ssl_protocols TLSv1.1 TLSv1.2;
#ALT:
#ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS;
ssl_prefer_server_ciphers on;

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/nginx/nginx.conf

Szukacie linijki zaczynającej się od:

ssl_protocols

I zmieniacie na:

ssl_protocols TLSv1.1 TLSv1.2;

Na koniec restart ustawień:

nginx -t && service nginx reload

Zabezpieczamy serwer oparty o webserwer Apache2

Jeśli korzystacie z webserwera Apache2 zalecam zmodyfikować pliki konfiguracyjne domen (wirtualnych serwerów, vHostów) w przypadku których korzystacie z SSL/HTTPS.

Znajdujecie linijki zaczynające się od:

SSLProtocol
SSLCipherSuite
SSLHonorCipherOrder

I zmieniacie je (lub dodajecie gdy którejś brakuje) na:

SSLProtocol +TLSv1.1 +TLSv1.2
# ALT:
#SSLProtocol all -SSLv2 -SSLv3 -TLSv1
# ALT2:
#SSLProtocol +TLSv1 +TLSv1.1 +TLSv1.2
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
SSLHonorCipherOrder on

Możecie też dokonać modyfikacji globalnej, edytując plik:

sudo nano /etc/apache2/mods-available/ssl.conf

Szukacie linijki zaczynającej się od:

SSLProtocol

I zmieniacie na:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1

Na koniec restart ustawień:

sudo service apache2 restart

Cloudflare i Universal SSL

Przy okazji przypomnę o tym, że niedawno Cloudflare również w przypadku darmowych planów pozwoliło na korzystanie z połączeń szyfrowanych (SSL/HTTPS)

Windows i Sandworm

Przy okazji - jeśli ktoś z Was jeszcze tego nie zrobił - szybko aktualizujemy komputery pracujące pod kontrolę systemu Windows (dla odmiany ;-)), bo pojawiła się groźna dziura - Sandworm, która jest już skutecznie wykorzystywana...

Co ciekawe - problem dotyczy wszystkich wersji systemu Windows powyżej Windowsa XP, którego akurat problem nie dotyczy.

(!) Zgłoś błąd na stronie
Pomogłem? To może postawisz mi wirtualną kawę?
LUTy dla D-Cinelike (DJI Mini 3 Pro, DJI Avata, OSMO Pocket) od MiniFly
Wdrożenie Omnibusa w sklepie na WooCommerce
Jak (legalnie) latać dronem w Kategorii Otwartej
Patryk