Igår den 15/10 publicerades ännu en gammal (18 år) sårbarhet, denna gång är det i krypteringsprotokollet SSLv3. Sårbarheten kallas POODLE, Padding Oracle On Downgraded Legacy Encryption, och gör det möjligt för attackerare att läsa eller se krypterad trafik i klartext.

Dagens webbläsare och webbservrar använder ett helt annat protokoll kallat TLS men på grund av bakåtkompabilitet stöds SSLv3 fortfarande. En attackerare kan därför nedgradera säkerhetsprotokollet till SSLv3 och på så sätt genomföra attacken.

På grund av sårbarhetens komplexibilitet i SSLv3 kommer det inte finnas några buggrättningar utan lösningen är att stänga av SSLv3 då det är för osäkert och gammalt. Påverkan blir att mycket gamla system som Internet Explorer 6 och Windows XP (utan SP3) inte kan kommunicera via https.

Vi rekommenderar att man avaktiverar SSLv3 på både serverdelen, om man har en server, samt på klientnivå (webbläsaren). För att stänga av SSLv3 på servernivå rekommenderas följande för de vanligaste webbservrarna Apache och IIS:

Apache på CentOS

SSLProtocol All -SSLv2 -SSLv3

I konfigurationsfilen /etc/httpd/conf.d/ssl.conf avaktiveras SSLv3 genom att lägga till -SSLv3

Starta sedan om apache.

Apache på Debian

SSLProtocol All -SSLv2 -SSLv3

I konfigurationsfilen /etc/apache2/mods-available/ssl.conf avaktiveras SSLv3 genom att lägga till -SSLv3:

Starta sedan om apache.

IIS

1. Öppna regedit och leta upp HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols
2. Lägg till eller ändra värdet Enabled i “SSL 3.0” till 0. Finns inte SSL 3.0 så skapa den. Se bilden här nedan hur det ska se ut.
3. Starta om hela servern för att få effekt.

För att göra det enklare för er som inte är vana vid regedit så har vi gjort en registerfil som man kan köra och sedan starta om servern. Kopiera nedan och spara till t ex pudelSSLv3.reg, kör sedan filen och starta om servern.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server] 
"Enabled"=dword:00000000

För att kontrollera om en domän är påverkad kan man använda följande url: http://foundeo.com/products/iis-weak-ssl-ciphers./

Firefox
1) Skriv about:config i addressfältet
2) Fyll sedan i security.tls.version.min i sökfältet och skriv in 1

CHROME
1) Klicka upp egenskaper för Chrome och lägg till ”–ssl-version-min=tls1” i körfältet
INTERNET EXPLORER
1) Gå till Verktyg, Internetalternativ och klicka på avancerat. Klicka ur ”Använd SSL 3.0” och spara

Genom att gå till följande länk kan man kolla om man har SSLv3 aktiverat https://zmap.io/sslv3/

På Ballou håller vi just nu på för fullt med att uppdatera våra system;  delade miljöer och kunder med patchtjänst.
Påverkan är att kunder med mycket gamla system som IE6 och Windows XP (utan SP3) inte kommer kunna använda våra delade miljöer via HTTPS protokollet.
För mer information:
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack

/Daniel Gullin – teknikchef