POODLE on CentOS

POODLE（意即 Padding Oracle On Downgraded Legacy Encryption）攻击是一种趁浏览器降级至 SSL 3.0 而进行的中间人攻击。假若攻击者能成功利用此漏洞，他们平均只需 256 个 SSL 3.0 请求便能看穿加密信息内的 1 个字符。此攻击是由谷歌安全小组的 Bodo Möller、Thai Duong 及 Krzysztof Kotowicz 所发现的。此攻击的严重性被视为不及 Heartbleed 或 Shellshock。

有关 POODLE 的更详尽解释请参阅此文章。

1. 受影响的 CentOS 版本

POODLE 影响所有 CentOS 版本，但只有活动版本的 CentOS 才会获缓解。这些版本包括 CentOS-5.11（或其后版本）、CentOS-6.5（或其后版本）、CentOS-7.0.1406（或其后版本）。其它版本的 CentOS 不会获修正。

请注意这里所列出的更新不是真的修正 POODLE，它们只是利用 TLS_FALLBACK_SCSV 选项防止降级至 SSLv3。用户必须人手修改 CentOS-5、CentOS-6 及 CentOS-7 上的 SSL 协议设置，并安装下列更新才能缓解 POODLE 及其它 SSL 降级问题。

1.1. CentOS-5.11

openssl-0.9.8e-31.el5_11.<结构>.rpm

1.2. CentOS-6.6

openssl-1.0.1e-30.el6_6.2.<结构>.rpm

1.3. CentOS-7.0.1406

openssl-1.0.1e-34.el7_0.6.<结构>.rpm

2. CentOS Linux 上的缓解方案

第一步是安装更新，你可采用以下指令：

yum update

完成后，请利用下列指令确定你的组件版，就你的 CentOS 版本而言，不少于上述版本：

rpm -q openssl

要是你拥有上述版本（或较新版本），你所安装的 openssl 版本已经够新。

2.1. 更改设置

Red Hat 有篇文章讨论 POODLE 及缓解方案。Tomcat、Firefox、httpd, vsftpd 及其它组件所需要的改动已包含在该文章内。

https://disablessl3.com 收录了更详尽的程序及选项清单，请参阅。

3. 验证改动

当你已完成所有改动后，你可运用 Qualys SSL Labs 来验证你的网页服务器已堵塞 POODLE 及 TLS_FALLBACK_SCSV 的漏洞。你也可考虑在 CentOS-6.6（或以上）及 CentOS-7 的 httpd 采用 TLSv1.2，或在 CentOS-5 采用 TLSv1。

Translation of revision 7