No voy a explayarme mucho en el tema. El fallo tiene 15 años, ahora lo descubre Google, pero hace cuanto muchos otros lo usaban? o acaso piensan que solo Google tiene ingenieros?. Aun no hay parche, solo mitigarlo y comprobar. Addon para Firefox hasta que en su version 34 sea anulado y un script para que chequeen su servidor.
Script:
#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
if echo "${ret}" | grep -q 'Cipher.*0000'; then
echo "SSL 3.0 disabled"
else
echo "SSL 3.0 enabled"
fi
else
echo "SSL disabled or other error"
fi
Uso: ./checkeo host
Si nos da SSL 3 es vulnerable si no, esta bien
Addon para Firefox y no sufrir un MITM mientras hacemos home banking:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
Mas informacion: https://www.openssl.org/~bodo/ssl-poodle.pdf
Script:
#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
if echo "${ret}" | grep -q 'Cipher.*0000'; then
echo "SSL 3.0 disabled"
else
echo "SSL 3.0 enabled"
fi
else
echo "SSL disabled or other error"
fi
Uso: ./checkeo host
Si nos da SSL 3 es vulnerable si no, esta bien
Addon para Firefox y no sufrir un MITM mientras hacemos home banking:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
Mas informacion: https://www.openssl.org/~bodo/ssl-poodle.pdf
No hay comentarios:
Publicar un comentario