هر از چندگاهی متخصصان امنیت در دنیا باگ ها و حفره های امنیتی ای را پیدا می کنند که امنیت اطلاعات خصوصی میلیونها کاربر در سراسر جهان را تهدید می کند. آسیبپذیری Poodle در تاریخ 23 مهر 1393 برابر با 15 اکتبر 2014 منتشر شد. این آسیبپذیری در نسخه سوم پروتکل SSL گزارش شده است که با بهرهبرداری از آن یک نفوذگر داخل شبکهی کاربر میتواند به قسمتی از دادههای حساس کاربر، مانند کوکی که هویت کاربر است دست یابد. با استفاده از کوکی، نفوذگر میتواند به جای کاربر وارد حساب او بشود.
این آسیب پذیری از یک ضعف در مبنای تئوری SSLv3 استفاده کرده است، نه یک مشکل پیاده سازی. به همین دلیل تنها راه برطرف کردن آن غیر فعال کردن کامل این پروتکل میباشد.
اصل مبنای تئوری این آسیب پذیری توسط Serge Vaudenay در سال ۲۰۰۱ مطرح شده بود، اما او فکر میکرده است که امکان استفاده عملی از این آسیب پذیری وجود ندارد.
هم اکنون یک روند عملی برای استفاده از این آسیب پذیری مطرح شده است. این روند عملی، اگر چه پیچیده، ولی قطعی است و فراهم کردن همه شرایط آن اگر چه نیاز به تلاش بسیاری دارد (و نوشتن یک اسکریپت برای آن شاید سخت باشد) ولی کاملا شدنی است.
بهترین راه حل برای این آسیبپذیریی عدم استفاده از SSLv3 توسط سرویسدهنده (وب سرور) و سرویسگیرنده (کاربر) میباشد. البته اگر سرویس دهندهای تنها از SSLv3 استفاده کند، غیرفعال کردن آن در سمت کاربر (سرویس گیرنده) میتواند باعث عدم دسترسی به سرویسدهنده شود.
. در قدم اول کاربران باید مرورگر های خود را مورد آزمایش قرار دهند تا مشخص شود به SSL v3 Poodle آسیب پذیر می باشد یا نه
واحد شبکه شرکت بیان ابزاری طراحی کرده که می تواند مرورگر و سرور را نسبت به این آسیب پذیری مورد آزمایش قرار داد که
نحوه غیر فعال کردن SSL 3.0 در مرورگرهای مختلف در سیستم عامل ویندوز
مرورگر Internet Explorer
- از منوی Tools گزینه Internet Options را انتخاب کنید.
- صفحه Internet Options باز می شود.
- در این صفحه برگه Advanced را انتخاب کنید. (نام برگه ها به صورت افقی در بالای صفحه لیست شده است)
- در این برگه تعداد زیادی گزینه (چک باکس) وجود دارد که با کلیک بر روی هر کدام می توانید آن گزینه را تیک دار کنید یا تیک آن را بردارید. این گزینه ها در دسته های مختلفی دسته بندی شده اند.
- با اسکرول صفحه به سمت پایین به مجموعه گزینه هایی که در دسته Security قرار گرفته اند برسید.
- در این دسته، تیک مربوط به گزینه هایی که با عنوان Use SSL شروع شده اند را بردارید (اگر تیک دارند). معمولا دو گزینه Use SSL 2.0 و Use SSL 3.0 باید وجود داشته باشند.
- در همین دسته، گزینه هایی که با عنوان Use TLS شروع می شوند را تیک بزنید (اگر تیک ندارند). معمولا گزینه Use TLS 1.0 وجود دارد و ممکن است گزینه های Use TLS 1.1 و Use TLS 1.2 نیز وجود داشته باشند.
- در نهایت صفحه شما باید مشابه شکل زیر شده باشد (ممکن است بعضی از گزینه ها وجود نداشته باشند):
- دکمه Ok را بزنید تا تغییرات شما ذخیره شوند.
مرورگر Firefox
- توسط مرورگر خود به این آدرس بروید:
https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control - در این صفحه، دکمه Add to Firefox را کلیک کنید.
- از پنجره ای که باز می شود دکمه Allow را انتخاب کنید.
- پس از مدتی پنجره دیگری باز می شود. در این پنجره دکمه Install Now (که در پایین پنجره قرار گرفته است) را کلیک کنید.
- پس از مدتی پیغامی مبتنی بر نصب موفقیت آمیز افزونه به شما داده می شود.
- این افزونه به طور اتوماتیک همه کارها را انجام می دهد.
راه دوم: استفاده از تنظیمات پیشرفته (فقط برای کاربران حرفه ای)
- عبارت about:config را در قسمت آدرس بار مرورگر خود تایپ کنید.
- در صفحه باز شده در قسمت جستجو عبارت tls را وارد کنید و دکمه Enter را بزنید.
- بر روی سطری که دارای عنوان security.tls.version.min می باشد "دبل کلیک" کنید.
- پنجره ای باز می شود که می توانید در آن مقدار وارد کنید.
- عدد 1 را وارد کنید و سپس دکمه Ok را بفشارید.
مرورگر Chrome
- بر روی میانبر Chrome بر روی دسکتاپ کلیک راست کنید و گزینه Properties را از منوی باز شده انتخاب کنید.
- در صفحه باز شده به فیلد Target را پیدا کنید و بر روی جعبه ورودی مقابل آن کلیک کنید.
- به انتهای مقدار وارد شده در این جعبه بروید که عبارت chrome.exe” می باشد.
-
با گذاشتن یک فاصله (space) این عبارت را پس از عبارت بالا وارد کنید:
--ssl-version-min=tls1 - دکمه Ok را بزنید.
توجه داشته باشید که برای استفاده از راه حل بالا، از این پس تنها باید از طریق این میانبر مرورگر خود را اجرا کنید. به عنوان مثال اگر کروم را از طریق میانبری که در منوی Start شما قرار گرفته است اجرا کنید طبیعتا در آن حالت مرورگر شما امن نخواهد بود. البته می توانید این کار را برای سایر میانبرهای کروم نیز اجرا کنید.
مرورگر OPera
1. در نوار آدرس مرورگر عبارت opera:config را وارد کنید
مدیران سایتها چه کاری باید انجام دهند؟
بهترین راه حل برای گردانندگان سایتها (یا وب مسترها) برای جلوگیری از این آسیب پذیری غیر فعال کردن SSLv3 در تنظیمات web-server است. البته این باعث میشود که مرورگر IE6 (که البته دیگر پشتیبانی هم نمیشود و سهم کمی در مرورگرها دارد) امکان اتصال به https سایت را نداشته باشد، اما اگر امنیت و راحتی کاربران مهم است (به دلیل وجود مشکلات امنیتی و کارکردی متعدد در IE6) بهتر است این مرورگر (حداقل برای اتصال امن با https) نادیده گرفته شود.
روش غیر فعال کردن SSLv3 در سرورهای مختلف به صورت زیر است.
ضمنا باید به نکات زیر نیز توجه نمود:
- در مورد هر سرور، بعد از تغییر تنظیمات باید سرویس مربوط را restart کرد.
- بهتر است طبق راهنمای موزیلا الگوریتمهای مورد استفاده وب سرور خود را نیز تغییر دهید.
غیر فعال کردن SSL3 در Apache
کافیست تنظیم زیر در کنار بقیه تنظمیات SSL درج شود (دقت کنید که تنظیم SSLProtocol از قبل وجود نداشته باشد)
SSLProtocol All -SSLv2 -SSLv3
غیر فعال کردن SSL3 در Nginx
این خط باید به تنظیمات nginx اضافه شود: (در قسمت http یا server)
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
غیر فعال کردن SSL3 در Lighttpd
عبارات زیر باید به تنظیمات lighttpd و بعد از خط ssl.engine = "enable"
اضافه شوند:
ssl.use-sslv2 = "disable" ssl.use-sslv3 = "disable"
منبع : بنقل از وبلاگ رسمی بیان