關於SSL POODLE漏洞修復方案

來自專欄技術討論

關於SSL POODLE漏洞：

POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞CVE-2014-3566)的代號，俗稱「貴賓犬」漏洞。此漏洞是針對SSL3.0中CBC模式加密演算法的一種padding oracle攻擊，可以讓攻擊者獲取SSL通信中的部分信息明文，如果將明文中的重要部分獲取了，比如cookie,session，則信息的安全出現了隱患。

從本質上說，這是SSL設計上的缺陷，SSL先認證再加密是不安全的。

如何檢測漏洞

可以是通過在線檢測工具https://myssl.com/來進行檢測。

修復措施：

禁用sslv3協議

不同的web server不盡相同。這邊列舉主流的伺服器的禁用方式

Nginx伺服器：

注意：nginx和openssl套件版本過低可能會導致無法啟用新型加密套件和演算法，請升級最新版本。

（openssl1.0.1+版本支持TLS1.1和TLS1.2協議）

1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
2. ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!3DES:!aNULL:!MD5:!ADH:!RC4;
3. ssl_prefer_server_ciphers on;

apache伺服器：

注意：apache和openssl套件版本過低可能會導致無法啟用新型加密套件和演算法，請升級最新版本。

（openssl1.0.1+版本支持TLS1.1和TLS1.2協議）

1. SSLProtocol all -SSLv2 -SSLv3
2. SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE
3. SSLHonorCipherOrder on

Tomcat伺服器：

JDK版本過低也會帶來不安全漏洞，請升級JDK為最新版本。升級JDK風險請安按照系統升級風險酌情考慮。（先備份再配置，低版本的配置後有啟動不了的風險，請升級tomcat和jdk版本，JDK1.7及以上支持TLS1.2協議）

1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
2. maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
3. keystoreFile="keystore/domain.jks" keystorePass="證書密碼"
4. clientAuth="false" sslProtocol="TLS"
5. ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
6. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
7. TLS_RSA_WITH_AES_128_CBC_SHA,
8. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
9. TLS_RSA_WITH_AES_128_CBC_SHA256,
10. TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
11. SSL_RSA_WITH_3DES_EDE_CBC_SHA,
12. TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat（windows環境路徑請使用「」）

1. <Connector port="443" maxHttpHeaderSize="8192"
2. maxThreads="150"
3. protocol="org.apache.coyote.http11.Http11AprProtocol"
4. enableLookups="false" disableUploadTimeout="true"
5. acceptCount="100" scheme="https" secure="true"
6. SSLEnabled="true"
7. SSLProtocol="all -SSLv2 -SSLv3"
8. SSLCertificateFile="conf/domian.com.crt"
9. SSLCertificateKeyFile="conf/domian.com.key"
10. SSLCertificateChainFile="conf/issuer.crt"
11. SSLCipherSuite="ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!3DES:!MD5:!ADH:!RC4:!DH:!DHE" />

IIS伺服器：

使用我們的套件工具,按照如下圖進行修復。

下載地址：

windows server 2003 https://www.nartac.com/Downloads/IISCrypto/16build7/IISCrypto.exe

windows server 2008 http://www.wosign.com/download/IISCrypto.exe

windows server 2012 之後版本 https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe

備註：windows server 2003不支持tls1.1和1.2請升級至2008 R2或2012

根據圖示進行選擇，點擊Best Practices，然後再點擊Apply，完成後重啟伺服器。

推薦閱讀：

相关文章