POODLE on CentOS

POODLE(意即 Padding Oracle On Downgraded Legacy Encryption)攻击是一种趁浏览器降级至 SSL 3.0 而进行的中间人攻击。假若攻击者能成功利用此漏洞,他们平均只需 256 个 SSL 3.0 请求便能看穿加密信息内的 1 个字符。此攻击是由谷歌安全小组的 Bodo Möller、Thai Duong 及 Krzysztof Kotowicz 所发现的。此攻击的严重性被视为不及 Heartbleed 或 Shellshock。

有关 POODLE 的更详尽解释请参阅此文章

受影响的 CentOS 版本

POODLE 影响所有 CentOS 版本,但只有活动版本的 CentOS 才会获缓解。这些版本包括 CentOS-5.11(或其后版本)、CentOS-6.5(或其后版本)、CentOS-7.0.1406(或其后版本)。其它版本的 CentOS 不会获修正。

请注意这里所列出的更新不是真的修正 POODLE,它们只是利用 TLS_FALLBACK_SCSV 选项防止降级至 SSLv3。用户必须人手修改 CentOS-5、CentOS-6 及 CentOS-7 上的 SSL 协议设置,并安装下列更新才能缓解 POODLE 及其它 SSL 降级问题。

CentOS-5.11

openssl-0.9.8e-31.el5_11.<结构>.rpm

CentOS-6.6

openssl-1.0.1e-30.el6_6.2.<结构>.rpm

CentOS-7.0.1406

openssl-1.0.1e-34.el7_0.6.<结构>.rpm

CentOS Linux 上的缓解方案

第一步是安装更新,你可采用以下指令:

yum update

完成后,请利用下列指令确定你的组件版,就你的 CentOS 版本而言,不少于上述版本:

rpm -q openssl

要是你拥有上述版本(或较新版本),你所安装的 openssl 版本已经够新。

更改设置

Red Hat 有篇文章讨论 POODLE 及缓解方案。TomcatFirefoxhttpd, vsftpd其它组件所需要的改动已包含在该文章内。

https://disablessl3.com 收录了更详尽的程序及选项清单,请参阅。

验证改动

当你已完成所有改动后,你可运用 Qualys SSL Labs 来验证你的网页服务器已堵塞 POODLE 及 TLS_FALLBACK_SCSV 的漏洞。你也可考虑在 CentOS-6.6(或以上)及 CentOS-7 的 httpd 采用 TLSv1.2,或在 CentOS-5 采用 TLSv1。

Translation of revision 7

zh/Security/POODLE (last edited 2019-12-09 09:11:46 by anonymous)