این روزها مرتب داره باگهای امنیتی خفن با سابقههای طولانی در حد بیش از ۱۰ سال پیدا و اعلام میشه.
اگه حضور ذهن داشته باشید باگهای Heartblead یا همون خونریزی قلبی در OpenSSL، باگ بزرگ Shellshock خیلی وقت نیست که اعلام شدند.
اما آخرین باگ امنیتی که همین دیروز سر و صداش بلند شد، مشکل امنیتی است در SSL نسخه ۳. اسم این باگ که از طرف Google اعلام شده Poodle است.
Mozilla اعلام کرده که از نسخه بعدیش (نسخه ۳۴) پشتیبانی از SSLv3 که ۱۵ ساله بازنشسته شده را قطع میکنه. Chrome هم همین سیاست را در پیش گرفته است.
اگه کاربر عادی هستید در Firefox با نصب افزونه SSL Version Control از نشانی https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control میتونید قبل از اینکه نسخه جدید فایرفاکس بیاد از اتصال مشکلدار SSLv3 جلوگیری کنید. همینطور میتونید Google Chrome را با گزینه –ssl-version-min=tls1 اجرا کنید تا گوگل کروم هم از این پروتکل مشکلدار استفاده نکنه.
اگه سرور وب Apache دارید و SSL روش فعال است در اولین فرصت با تنظیم خط زیر در etc/apache2/mods-enabled/ssl.conf/ از کاربرای سایتتون محافظت کنید:
SSLProtocol all -SSLv2 -SSLv3
اطلاعات بیشتر در مورد این مشکل امنیتی در http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html در دسترس است.
مثل همیشه بلاگ بیان ( blog.bayan.ir ) هم اطلاعات خوبی منتشر کرده است.
+آپدیت: اطلاعات بیشتر و راهنمای رفع خطر در وبلاگ بیان منتشر شده است. همینطور یک ابزار برای بررسی آنلاین اینکه شما در خطرید یا نه هم منتشر کرده است. همینطور یک پست در مورد چه شرایطی ممکن است شما را دچار خطر کند در این بلاگ منتشر شده است.