大家,早安! 另一个安全漏洞正在打击技术(和主流!)媒体,我们希望 Fedora 用户获得直接、简单的信息。 这个是 CVE-2014-3466,当天的可爱昵称是“POODLE”。
以下是基础知识: SSL 和 TLS 是安全连接到 Internet 服务的标准。 你知道那个小锁图标 (或者它是一个手提包?)这意味着您的网络会话应该是安全的? 这意味着某种级别的安全连接协议正在使用中。 这些协议多年来为了更好的安全性已经改进了好几次,一些旧版本有问题,真的不应该再使用了。
但是,出于兼容性原因,当客户端(例如您的 Web 浏览器)连接到服务器(例如 https://fedoraproject.org/),他们都协商了双方都能理解的最新版本。 如果它碰巧是旧的东西,那就是被使用的东西,缺陷和所有。 一个特殊的旧版本 SSLv3 有一些可怕的缺陷,使攻击者很容易解密你所谓的安全流量。 通常,如果您使用比十年前更新的网络浏览器,这不是问题——将使用更新的、更安全的协议版本。 但是“POODLE”攻击使用“中间人”攻击来混淆协商,诱使系统使用不安全的旧版本。
这可以通过限制服务器和客户端回退到的协议的年龄来缓解。 这可能会破坏连接到一些非常旧的服务或使用非常旧的网络浏览器的能力,但是可以说,那些古老的系统已经被破坏了,只是需要更新。
所以,底线是: 在服务器和客户端上,禁用 SSLv3 (当然,更老)。 更新到 Fedora 使其成为默认值的软件包即将推出,但与此同时,您可以手动进行。 Red Hat 正在撰写一篇安全博客文章,解释对不同软件采取的步骤; 当它可用时,我们将链接到它。
更新:红帽 安全博客 现在有一篇详细的文章, POODLE – SSL 3.0 漏洞 (CVE-2014-3566)。 这包括更多解释,以及知识库文章的链接,解释如何在各种不同的应用程序中缓解问题。
如果您正在使用 Firefox,可以设置隐藏配置选项
security.tls.version.min
到
1
— 或者您可以安装 SSL 版本控制插件,它会立即设置(并为您提供用户界面选项以在将来设置更高的级别)。 这是强烈推荐的!
如果您正在运行 Apache 网络服务器,添加
-SSLv3
给你的
SSL协议
在配置和重新加载。 默认情况下,它在文件中
/etc/httpd/conf.d/ssl.conf
,但当然可能在其他地方,具体取决于您的本地配置。
当然,所有像这样的安全漏洞都应该认真对待,但在“天塌下来”的规模上,这似乎低于其他最近的重大新闻漏洞,因为它确实需要主动的中间人攻击——攻击者不能仅仅探测网络或自动攻击连接到恶意服务器的客户端。 (主要风险是当您使用不受信任的网络时,例如咖啡店或会议中的 wifi。)
如果您想了解更多详细信息,可以阅读为宣布此问题而发表的简短(且技术性中等)论文: 这只贵宾犬咬人:利用 SSL 3.0 后备. (是的,这才是真正的标题。我认为安全研究人员对最近所有的心血和炮击感到有点头晕目眩。)
更多关于今天晚些时候的内容……敬请期待!
