ssl14 Ekim 2014 tarihinde duyurulan SSL v3 zaafiyeti POODLE (Padding Oracle On Downgraded Legacy Encryption) açıklığı ile SSL üzerinden gerçekleştirilen trafiğe Ortadaki adam saldırısı (man-in-the-middle attack) ile erişilebilir duruma getiriyor.

CVE-2014-3566 açıklık ID’si ile yayınlanan POODLE’a karşı sunucu ve istemci tarafında güvenlik önlemleri alınması gerekiyor.

İSTEMCİ TARAFI
POODLE’ın işlemesi için sunucu ve istemcinin her ikisinde de SSLv3 protokolünün desteği gerekiyor. Bu da kullanılan istemci yazılımlarda SSLv3’ün kapatılmasını gerektiriyor.

Chrome ve Firefox bir sonraki güncellemede SSLv3 desteğini kaldıracağını ifade etti, ancak diğer kullandığınız istemci yazılımlarında SSLv3 aktif olup olmadığını kontrol etmenizi öneririz.

SUNUCU TARAFI

Sunucu taraflı temel uygulamalar için örnek konfigürasyonlar;

NGINX

ile açarak,

SSL protokol desteği aşağıdaki örnekteki gibi değiştirilmeli (SSLv3 olmamalı…)

 

APACHE WEB SERVER

UBUNTU

Konfigürasyon dosyasında,

CENTOS

Konfigürasyon dosyasında,

protokol desteği;

şeklinde olmalıdır,

Servisi yeniden başlatmak için;
UBUNTU >

CENTOS >

 HAProxy Load Balancer

konfigürasyon dosyası açılarak,

no-sslv3 eklenmeli.

ile servis yeniden başlatılmalı

OpenVPN VPN Server
OpenVPN Server SSLv3 desteği bulunmamakta.

Postfix SMTP Server

ile açılarak,

şeklinde değiştirilmeli,

 Dovecot IMAP and POP3 Server

ile açılarak,

şeklinde değiştirilmeli,

Yerel SSL3 testi…

Çıktıda;

Görüyorsak SSLv3 desteği yoktur…

 

 

 

SSL Testi için tıklayınız…

STANDART REFERANS: ISO 27001:2013

A.10.1.1
A.10.1.2
A.12.6.1
A.12.7.1
A.13.2.1
A.13.2.3
A.14.1.3
A.14.2.8

Kaynak: DigitalOcean

|
____ Innovation Science Labs ____
|