15 oct 2014

Poodle - Grave fallo en SSL 3 deja expuesto a millones de servicios | Van a seguir con OpenSSL?

No voy a explayarme mucho en el tema. El fallo tiene 15 años, ahora lo descubre Google, pero hace cuanto muchos otros lo usaban? o acaso piensan que solo Google tiene ingenieros?. Aun no hay parche, solo mitigarlo y comprobar. Addon para Firefox hasta que en su version 34 sea anulado y un script para que chequeen su servidor.
Script:

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSL 3.0 disabled"
  else
    echo "SSL 3.0 enabled"
 fi
else
  echo "SSL disabled or other error"
fi

Uso: ./checkeo host

Si nos da SSL 3 es vulnerable si no, esta bien

Addon para Firefox y no sufrir un MITM mientras hacemos home banking:

https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/

Mas informacion: https://www.openssl.org/~bodo/ssl-poodle.pdf

No hay comentarios: