باگ امنیتی SSLv3

Poodle

این روزها مرتب داره باگ‌های امنیتی خفن با سابقه‌های طولانی در حد بیش از ۱۰ سال پیدا و اعلام می‌شه.

اگه حضور ذهن داشته باشید باگ‌های Heartblead یا همون خون‌ریزی قلبی در OpenSSL، باگ بزرگ Shellshock خیلی وقت نیست که اعلام شدند.

اما آخرین باگ امنیتی که همین دیروز سر و صداش بلند شد، مشکل امنیتی است در SSL نسخه ۳. اسم این باگ که از طرف Google اعلام شده Poodle است.

Mozilla اعلام کرده که از نسخه بعدیش (نسخه ۳۴) پشتیبانی از SSLv3 که ۱۵ ساله بازنشسته شده را قطع می‌کنه. Chrome هم همین سیاست را در پیش گرفته است.

اگه کاربر عادی هستید در Firefox با نصب افزونه SSL Version Control از نشانی  https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control می‌تونید قبل از اینکه نسخه جدید فایرفاکس بیاد از اتصال مشکل‌دار SSLv3 جلوگیری کنید. همینطور می‌تونید Google Chrome را با گزینه  –ssl-version-min=tls1 اجرا کنید تا گوگل کروم هم از این پروتکل مشکل‌دار استفاده نکنه.

اگه سرور وب Apache دارید و SSL روش فعال است در اولین فرصت با تنظیم خط زیر در etc/apache2/mods-enabled/ssl.conf/ از کاربرای سایتتون محافظت کنید:

اطلاعات بیشتر در مورد این مشکل امنیتی در http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html در دسترس است.
مثل همیشه بلاگ بیان ( blog.bayan.ir ) هم اطلاعات خوبی منتشر کرده است.

+آپدیت: اطلاعات بیشتر و راهنمای رفع خطر در وبلاگ بیان منتشر شده است. همینطور یک ابزار برای بررسی آنلاین اینکه شما در خطرید یا نه هم منتشر کرده است. همینطور یک پست در مورد چه شرایطی ممکن است شما را دچار خطر کند در این بلاگ منتشر شده است.