Google はSSLv3プロトコルの脆弱性を発表しました
...セキュア接続のプレーンテキストをネットワーク攻撃者が計算できるようにします。
この脆弱性には、CVE-2014-3566とマーケティング名POODLE が指定されています。
` https://www.example.com/にWebサイトがある場合、この脆弱性が私に影響を与えるかどうかはどうすればわかりますか?
Google はSSLv3プロトコルの脆弱性を発表しました
...セキュア接続のプレーンテキストをネットワーク攻撃者が計算できるようにします。
この脆弱性には、CVE-2014-3566とマーケティング名POODLE が指定されています。
` https://www.example.com/にWebサイトがある場合、この脆弱性が私に影響を与えるかどうかはどうすればわかりますか?
回答:
POODLEの出現により、SSLv3で使用されるすべての暗号スイートが危険にさらされており、プロトコルは取り返しのつかないほど壊れていると見なされる必要があります。
次のコマンドを使用して、SSLv3でWebサイトが利用可能かどうかを確認できますcurl(1)。
curl -v -3 -X HEAD https://www.example.com
-v冗長出力の引数のターンは、-3力がのSSLv3を使用するようにカールし、-X HEAD成功した接続で出力を制限します。
脆弱でない場合は、接続できず、出力は次のようになります。
* SSL peer handshake failed, the server most likely requires a client certificate to connect
脆弱な場合、次の行を含む通常の接続出力が表示されます。
* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
SSLで利用できるのはウェブサイトだけではありません。メール、irc、およびLDAPは、セキュリティで保護された接続を介して利用できるサービスの3つの例であり、SSLv3接続を受け入れる場合、POODLEに対して同様に脆弱です。
SSLv3を使用してサービスに接続するには、次のコマンドを使用できます。openssl(1) s_client(1)
openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
-connect引数が取るhostname:portパラメータ、-ssl3引数がのSSLv3にネゴシエートされたプロトコルバージョンを制限し、内管/dev/nullにSTDIN直ちにそれを開いた後、接続を終了します。
接続に成功すると、SSLv3が有効になります。あなたが得るならばssl handshake failure、そうではありません。
Security SEには優れた質問と回答があります:https : //security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
SSL .*connection using .*_WITH_.*が失敗に等しい形のほとんど何でもとる?
クイックチェックを行う場合は、以下のURLに進んでください。POODLEのチェックを含め、SSLのすべてに対応するのに非常に優れています。
curlの-vフラグが引数を取るかどうかは私には明らかではありません。上記の内容を確認できますか?または、の特定のバージョンが必要な場合は、curl知っておくと便利です。