En el sitio web de RedHat encontré un script para que veamos si somos vulnerables o no (aplica sobre todo a servidores, no tanto al usuario final, pero puede pasar)
Copiar y pegar en un documento.sh #!/bin/bash ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null) if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then if echo "${ret}" | grep -q 'Cipher.*0000'; then echo "SSLv3 disabled" else echo "SSLv3 enabled" fi else echo "SSL disabled or other error" fi Guardar y dar permisos de ejecución, luego correr el script y ver los resultados, si el SSLv3 está habilitado se debe actuar. El 16 de octubre de 2014, 16:58, Oscar Fabian<ofp.pri...@gmail.com> escribió: > ham se publico esta mañana en facebook link oficial de la falla > https://www.openssl.org/~bodo/ssl-poodle.pdf > > interesante que se esta diciendo que la falla mata a SSL v3 y piden migrar > a TLS > > El 16 de octubre de 2014, 16:51, Jhosman Lizarazo - Ubuntu Colombia < > jhos...@ubuntu.com> escribió: > > > La vulnerabilidad CANICHE es una debilidad en la versión 3 del protocolo > > SSL que permite a un atacante en un contexto-man-in-the-middle de > descifrar > > el contenido de texto sin formato de un mensaje cifrado SSLv3. > > > > Mas información en: > > http://people.canonical.com/~ubuntu-security/cve/2014/CVE-2014-3566.html > > > > > > *¿Quién está afectado por esta vulnerabilidad? * > > Esta vulnerabilidad afecta a cada pieza de software que puede ser > > coaccionado para comunicarse con SSLv3. Esto significa que cualquier > > software que implementa un mecanismo de reserva que incluye soporte SSLv3 > > es vulnerable y puede ser explotado.Algunas piezas comunes de software > que > > pueden ser afectados son los navegadores web, servidores web, servidores > > VPN, servidores de correo, etc- > > > > *¿Cómo funciona?* > > > > En resumen, la vulnerabilidad existe CANICHE porque el protocolo SSLv3 no > > comprueba adecuadamente los bytes de relleno que se envían con mensajes > > cifrados.Puesto que éstos no pueden ser verificados por la parte > receptora, > > un atacante puede sustituir a estos y pasarlos al destino previsto. > Cuando > > se hace de una manera específica, la carga útil modificada potencialmente > > será aceptado por el receptor sin queja. > > > > Un promedio de una vez de cada 256 solicitudes será aceptado en el > destino, > > lo que permite al atacante descifrar un solo byte. Esto se puede repetir > > fácilmente con el fin de descifrar progresivamente bytes adicionales. > > Cualquier atacante capaz de forzar repetidamente un participante para > > volver a enviar los datos mediante este protocolo puede romper el cifrado > > en un lapso muy corto de tiempo. > > > > *¿Cómo puedo protegerme?* > > > > Deberían tomarse medidas para asegurarse de que usted no es vulnerable en > > sus papeles como un cliente y un servidor. Desde encriptación normalmente > > se negocia entre clientes y servidores, es un tema que involucra a ambas > > partes.Los servidores y los clientes deben deben tomar medidas para > > desactivar el soporte SSLv3 completamente. > > > > Muchas aplicaciones utilizan mejor encriptación por defecto, pero > > implementan soporte SSLv3 como una opción de reserva. Esto se debe > > desactivar, como un usuario malicioso puede forzar la comunicación SSLv3 > si > > ambos participantes lo permiten como un método aceptable. > > > > *Cómo proteger aplicaciones comunes* > > > > A continuación, vamos a cubrir cómo deshabilitar SSLv3 en algunas > > aplicaciones de servidor comunes. Tenga cuidado al evaluar sus servidores > > para proteger a los servicios adicionales que pueden confiar en el > cifrado > > SSL / TCP. > > > > Debido a la vulnerabilidad CANICHE no representa un problema de > aplicación > > y es un problema inherente con todo el protocolo, no hay ninguna > solución y > > la única solución fiable es no usarlo. > > Nginx servidor Web > > > > Para desactivar SSLv3 en el servidor web Nginx, puede utilizar el > > ssl_protocols Directiva. Esto se encuentra en los server o http bloques > en > > su configuración. > > > > Por ejemplo, en Ubuntu, puede agregar esta a nivel mundial para > > /etc/nginx/nginx.conf interior del http bloque, o para cada server bloque > > en el /etc/nginx/sites-enabled directorio. > > > > sudo nano /etc/nginx/nginx.conf > > > > *Para desactivar SSLv3, su ssl_protocols directiva debe establecerse > así:* > > > > ssl_protocols TLSv1 TLSv1.1 TLSv1.2; > > > > Debe reiniciar el servidor después de haber hecho la modificación > anterior: > > > > sudo service nginx restart > > > > *Apache Web Server* > > > > Para desactivar SSLv3 en el servidor web Apache, usted tendrá que ajustar > > el SSLProtocol directiva proporcionada por el mod_ssl módulo. > > > > Esta directiva se puede establecer en el nivel de servidor o en una > > configuración de host virtual. Dependiendo de la configuración de su > > distribución de Apache, la configuración SSL se puede situar en un > archivo > > independiente que proviene. > > > > En Ubuntu, la especificación a nivel de servidor para los servidores se > > puede ajustar mediante la edición del > /etc/apache2/mods-available/ssl.conf > > archivo. Si mod_ssl está habilitada, un enlace simbólico se conectará > este > > archivo al mods-enabled subdirectorio: > > > > sudo nano /etc/apache2/mods-available/ssl.conf > > > > *En CentOS*, puede puede ajustar esto en el archivo de configuración SSL > se > > encuentra aquí (si SSL está habilitado): > > > > sudo nano /etc/httpd/conf.d/ssl.conf > > > > En el interior se encuentra el SSLProtocol Directiva. Si esto no está > > disponible, lo crea. Modifique esto para eliminar explícitamente el > apoyo a > > SSLv3: > > > > SSLProtocol all -SSLv3 -SSLv2 > > > > Guarde y cierre el archivo. Reinicie el servicio para permitir los > cambios. > > > > En Ubuntu, puede escribir: > > > > sudo service apache2 restart > > > > En CentOS, esto sería: > > > > sudo service httpd restart > > > > *HAProxy equilibrador de carga* > > > > Para desactivar SSLv3 en un equilibrador de carga HAProxy, tendrá que > abrir > > el haproxy.cfg archivo. > > > > Esta se encuentra en /etc/haproxy/haproxy.cfg : > > > > sudo nano /etc/haproxy/haproxy.cfg > > > > En la configuración de su extremo delantero, si ha habilitado SSL, tu > bind > > Directiva especificará la dirección IP pública y el puerto. Si está > > utilizando SSL, tendrá que añadir no-sslv3 hasta el final de esta línea: > > > > frontend name bind public_ip :443 ssl crt /path/to/certs no-sslv3 > > > > Guarde y cierre el archivo. > > > > Tendrá que reiniciar el servicio para aplicar los cambios: > > > > sudo service haproxy restart > > > > *OpenVPN servidor VPN* > > > > Las versiones recientes de OpenVPN en realidad no permiten SSLv3. El > > servicio no es vulnerable a este problema específico, por lo que no > tendrá > > que ajustar su configuración. > > > > Ver este post en los foros de OpenVPN para más información . > > Postfix SMTP del servidor https://forums.openvpn.net/topic17268.html > > > > Si la configuración de Postfix está configurado para requerir el cifrado, > > se utilizará una directiva llamada smtpd_tls_mandatory_protocols . > > > > Usted puede encontrar esto en el archivo principal de configuración de > > Postfix: > > > > sudo nano /etc/postfix/main.cf > > > > Para un servidor Postfix configurado para utilizar cifrado en todo > momento, > > puede asegurarse de que SSLv3 y SSLv2 no son aceptadas por el > > establecimiento de este parámetro. Si no forzar el cifrado, usted no > tiene > > que hacer nada: > > > > smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 > > > > Guarde la configuración. Reinicie el servicio para implementar los > cambios: > > > > sudo service postfix restart > > > > *Dovecot IMAP y POP3 Servidor* > > > > Para desactivar SSLv3 en un servidor Dovecot, usted tendrá que ajustar > > directiva llamados ssl_protocols . Dependiendo de sus métodos de > > distribución de envasado, las configuraciones SSL se pueden mantener en > un > > archivo de configuración alternativa. > > > > Para la mayoría de las distribuciones, puede ajustar esta directiva > > mediante la apertura de este archivo: > > > > sudo nano /etc/dovecot/conf.d/10-ssl.conf > > > > En el interior, establecer el ssl_protocols directiva para deshabilitar > > SSLv2 y SSLv3: > > > > ssl_protocols = !SSLv3 !SSLv2 > > > > Guarde y cierre el archivo. > > > > Reinicie el servicio con el fin de aplicar los cambios: > > > > sudo service dovecot restart > > > > *Medidas adicionales* > > > > Junto con las aplicaciones del lado del servidor, también debe actualizar > > las aplicaciones cliente. > > > > En particular, los navegadores web pueden ser vulnerables a este > problema a > > causa de su negociación del protocolo de bajada. Asegúrese de que sus > > navegadores no permiten SSLv3 como un método de cifrado aceptable. Esto > > puede ser ajustable en la configuración o mediante la instalación de un > > plugin o extensión adicional. > > Conclusión > > > > Debido al amplio apoyo SSLv3, incluso cuando el cifrado fuerte está > > habilitada, esta vulnerabilidad es de gran alcance y peligroso. Usted > > tendrá que tomar medidas para protegerse a sí mismo tanto como un > > consumidor y el proveedor de los recursos que utilizan cifrado SSL. > > > > Asegúrese de revisar todos sus servicios de redes accesibles que pueden > > aprovechar SSL / TLS en cualquier forma. A menudo, estas aplicaciones > > requieren instrucciones explícitas para desactivar por completo las > formas > > más débiles de cifrado como SSLv3. > > > > -- > > Cordialmente. > > > > > > > > Jhosman Lizarazo > > https://launchpad.net/~jhosman > > -- > > Al escribir recuerde observar la etiqueta (normas) de esta lista: > > http://goo.gl/Pu0ke > > Para cambiar su inscripción, vaya a "Cambio de opciones" en > > http://goo.gl/Nevnx > > > > > > -- > > .---. .----------- Cordialmente. > / \ __ / ------ #Oscar Fabian Prieto Gonzalez > / / \( )/ ----- #Tecnico en Sistemas > ////// ' \/ ` --- #GNU/user > //// / // : : --- #www.ofprieto.blogspot.com > // / / /` '-- > // //..\\ > =============UU====UU==== > '//||\\` > ''`` > -- > Al escribir recuerde observar la etiqueta (normas) de esta lista: > http://goo.gl/Pu0ke > Para cambiar su inscripción, vaya a "Cambio de opciones" en > http://goo.gl/Nevnx > -- Cordialmente. Jhosman Lizarazo https://launchpad.net/~jhosman -- Al escribir recuerde observar la etiqueta (normas) de esta lista: http://goo.gl/Pu0ke Para cambiar su inscripción, vaya a "Cambio de opciones" en http://goo.gl/Nevnx