Vulnerabilidade no Protocolo SSLv3 (POODLE)

larger-14-Hack-POODLE-SSLv3-1

Protocolo SSLv3
O protocolo SSLv3 foi lançado em 1996, ele foi o único e bem-sucedido de sua família, uma vez que a versão 1 não chegou a ser lançado por terem sido detectados problemas de vulnerabilidade antes de seu lançamento e a versão 2 não durou nem um ano em produção, devido a instabilidades foi rapidamente substituída pela versão 3.
 
Problema
Na última semana após 18 anos de uso foi detectada uma vulnerabilidade grave, tal vulnerabilidade possui o nome de Poodle (Padding Oracle On Downgraded Legacy Encryption), e nela é possível que o tráfego entre o cliente e o servidor seja interceptado, captando os coockies do cliente e revelando dados que deveriam estar trafegando de forma segura.
Para saber se seu site está vulnerável a esse ataque basta efetuar uma consulta no endereço:

Solução
A forma de se livrar deste problema é desativando o suporte a esse protocolo nos servidores onde estão configurados o uso de conexões seguras por HTTPs, desativando o suporte aos protocolos SSL e mantendo ou acrescentando o suporte aos protocolos TSL.

Desativar no NGINX:
Para desativar o SSLv3 no Nginx basta tirá-lo da configuração ssl_protocols.
Entre no arquivo de configuração onde está configurado o seu portal seguro (https) e o seu certificado de segurança, procure e modifique a linha ssl_protocols, caso ela não exista acrescente logo abaixo de ssl on da seguinte forma:
ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
Após isso recarregue as configurações do nginx:
/etc/init.d/nginx reload

Desativar no Apache:
Para desativar o SSLv3 de um servidor Apache, é necessário ir na configuração do SSL (ssl.conf) e explicitar que serão removidos o suporte aos certificados SSLv2 e SSLv3:
Arquivo ssl.conf em distribuições Debian/Ubuntu:
/etc/apache2/mods-available/ssl.conf
Arquivo ssl.conf em distribuições RHEL/CentOS/Fedora:
/etc/httpd/conf.d/ssl.conf
Localize a linha SSLProtocol, caso não exista acrescente com as informações abaixo:
SSLProtocol All -SSLv2 -SSLv3
Cheque se as configurações estão corretas:
apachectl configtest
Reaplique as configurações do Apache:
Distribuições Debian/Ubuntu
/etc/init.d/apache2 reload
Distribuições RHEL/CentOS/Fedora
/etc/init.d/httpd reload

Desativar no Elastic Load Balancer:
  • Entre no Load Balancer onde está instalado o seu certificado.
  • Clique na aba Listeners.
  • Na opção Cipher clique em Change.
  • Marque a Opção Custom Policy
  • Desmarque: Protocol-SSLv2 e Protocol-SSLv3
  • Habilite: Protocol-TLSv1Protocol-TLSv1.1Protocol-TLSv1.2
  • Clique em Save.
Orientações a usuários finais:
Você como usuário final também precisa se prevenir para não utilizar esse protocolo, para isso mantenha seus navegadores sempre atualizados, pois nas próximas versões o suporte a esse protocolo será definitivamente sepultado, caso você utilize o Windows e tenha preferência por utilizar o Internet Explorer, opte sempre pela ultima versão do mesmo e certifique de que todos os pacotes de segurança do Windows foram instalados pelo Windows Update.

Gostou do conteúdo? Tem alguma dúvida? Entre em contato com nossos Especialistas Mandic Cloud, ficamos felizes em ajudá-lo.



Serviços e Plataformas Cloud


Com entrega de consultoria baseada nos principais métodos e práticas de mercado, os Especialistas Mandic Cloud evidenciam e aceleram os resultados e impacto de transformação da área de tecnologia nas empresas com planejamento, implantação/migração e sustentação de workloads com gerenciamento na nuvem com o uso de automação, melhores práticas em DevOps e Data Analytics (Engenharia de Dados) para a Transformação Digital de negócios nas principais plataformas de cloud do mercado:
Gestão AWS Brasil

com Especialistas certificados para te acompanhar de perto, em português. Amazon AWS

Virtualização de Servidores VMware

e Especialistas Mandic Cloud 24x7 que simplificam sua vida. VMware

Orquestração Cloud OpenStack

com Especialistas Full-stack para conectar sua empresa ao futuro. OpenStack Cloud

Microsoft Azure Cloud

e Especialistas em Clouds acelerando o acesso do seu negócio à nuvem corporativa. Microsoft Azure

Google Cloud Platform

e Especialistas DevOps construindo o futuro com Transformação Digital. Google Cloud Platform