Welcome! Log In Create A New Profile

Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Forum List Message List New Topic Print View

Илья Шипицин

October 16, 2014 12:08AM

15 октября 2014 г., 23:40 пользователь Maxim Dounin
<mdounin@mdounin.ru> написал:
> Hello!
>
> On Wed, Oct 15, 2014 at 07:06:30PM +0300, Gena Makhomed wrote:
>
>> On 15.10.2014 16:32, Maxim Dounin wrote:
>>
>> >>http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
>> >>Default: ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
>> >>
>> >>As most of you already know, there is an important SSLv3 vulnerability
>> >>(CVE-2014-3566 - see https://access.redhat.com/articles/1232123) ,
>> >>known as Poodle.
>> >>
>> >>Возможно имеет смысл изменить значение по умолчанию для директивы
>> >>ssl_protocols, чтобы там было только "TLSv1 TLSv1.1 TLSv1.2"
>> >>или даже, только "TLSv1.1 TLSv1.2" ?
>> >>
>> >>Чтобы nginx был "secure by default", прямо "из коробки".
>> >>А кому очень надо SSLv2 / SSLv3 / TLSv1 - смогут включить их вручную.
>> >
>> >Убирать TLSv1 - совершенно точно очень плохая идея. Это, в
>> >частности, отсечёт OpenSSL старее 1.0.1, что выглядит, мягко
>> >говоря, преждевременно.
>> >
>> >Мысль убрать SSLv3 по умолчанию носится в воздухе, но я пока не
>> >уверен в правильности этого действия.
>>
>> Древней версии IE 6.0 много только в Китае:
>> https://www.modern.ie/en-us/ie6countdown
>
> SSLv3 - это, как показывает практика, не только IE6. Только в
> рамках нашего маленького офиса уже есть жертвы - у коллеги
> отвалился IRC-клиент в связи с запретом SSLv3 на серверной
> стороне. При этом более или менее очевидно, что проблемы
> при использовании IRС - нет.
>
> Ну и да, 11% IE6 в Китае - это _очень_ много, а 0.6% в России -
> это тоже не то чтобы мало, когда речь идёт об абсолютных цифрах.
>
> При этом, на самом деле, проблема, как она есть - не в том, что в
> SSLv3 есть уязвимость. Проблема в первую очередь в том, что MitM
> может легко убедить даже современный браузер использовать SSLv3.

https://www.openssl.org/news/secadv_20141015.txt

SSL 3.0 Fallback protection
===========================

Severity: Medium

OpenSSL has added support for TLS_FALLBACK_SCSV to allow applications
to block the ability for a MITM attacker to force a protocol
downgrade.

> И именно эту проблему надо решать в первую очередь, IMHO.
> Собственно, это сейчас и делается со стороны браузеров, см.
> например у Adam'а Langley тут:
>
> https://www.imperialviolet.org/2014/10/14/poodle.html
>
> --
> Maxim Dounin
> http://nginx.org/
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 09:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 09:34AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 15, 2014 12:08PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 15, 2014 01:42PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:08AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mente	October 16, 2014 04:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 09:46AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:50PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 16, 2014 03:18PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 16, 2014 04:38PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 17, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Gena Makhomed	October 19, 2014 12:56PM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 20, 2014 12:16AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	mva	October 20, 2014 01:28AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:40AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 16, 2014 12:06AM
Re[2]: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Михаил Монашёв	October 16, 2014 04:06AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Илья Шипицин	October 20, 2014 04:48AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Aleksandr Sytar	October 16, 2014 07:36AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	igor.goncharenko	October 17, 2014 03:37AM
Re: CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.	Maxim Dounin	October 17, 2014 09:26AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 251

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018