Alert GCSA-14038 - Vulnerabilita' nel protocollo SSL version 3 (POODLE)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-14038
Data: 17 ottobre 2014
Titolo: Vulnerabilita' nel protocollo SSL version 3 (POODLE)
******************************************************************
:: Descrizione del problema
E' stata individuata una vulnerabilita' nel protocollo
SSL versione 3 che puo' consentire ad un aggressore in rete
di intercettare i dati cleartext di una connessione sicura,
tramite un attacco di tipo man-in-the-middle.
A questa tecnica di attacco e' stato dato il nome
POODLE (Padding Oracle On Downgraded Legacy Encryption).
L'SSL versione 3 e' un protocollo superato ma viene ancora
supportato praticamente da tutti i browser per motivi di
compatibilita', e viene utilizzato come ripiego quando
non e' possibile attivare protocolli piu' moderni
come il TLS v1.x.
Un aggressore potrebbe causare problemi di connessione
ed indurre l'uso dell'SSL v3 per sfruttarne le vulnerabilita'.
Per una descrizione completa delle vulnerabilita' si rimanda
alla sezione 'Riferimenti'.
:: Software interessato
OpenSSL versioni precedenti alla 1.0.1j
OpenSSL versioni precedenti alla 1.0.0o
OpenSSL versioni precedenti alla 0.9.8zc
Cisco IOS
Microsoft Windows
Microsoft Windows Server
Apple OS X
:: Impatto
Rivelazione e modifica di informazioni
Accesso non autorizzato
:: Soluzioni
Disabiltare il supporto per SSL 3.0 sia lato server che lato client.
Questa misura potrebbe impedire a vecchie versioni di browser,
per esempio Internet Explorer 6, di stabilire connessione criptate.
Istruzioni Server Side:
Microsoft IIS https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
Apache https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm
Nginx https://www.digicert.com/ssl-support/nginx-disabling-ssl-v3.htm
Istruzioni Client Side:
Internet Explorer, Mozilla Firefox, Google Chrome
https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm
Aggiornare OpenSSL ad una delle seguenti versioni:
OpenSSL 1.0.1j
OpenSSL 1.0.0o
OpenSSL 0.9.8zc
Test di verifica per Server
https://www.digicert.com/help/
https://www.ssllabs.com/ssltest/
oppure
nmap -sT -PN -p 443 ip_address_server --script ssl-enum-ciphers.nse
Test di verifica per Client
https://poodletest.com/
https://www.ssllabs.com/ssltest/viewMyClient.html
:: Riferimenti
Google Online Security Blog
http://googleonlinesecurity.blogspot.it/2014/10/this-poodle-bites-exploiting-ssl-30.html
This POODLE Bites: Exploiting The SSL 3.0 Fallback
https://www.openssl.org/~bodo/ssl-poodle.pdf
OpenSSL Security Advisory
https://www.openssl.org/news/secadv_20141015.txt
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
DigiCert Blog
https://blog.digicert.com/sslv3-vulnerability-poodle/
Qualys Blog
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Apple Security Update 2014-005
https://support.apple.com/kb/HT6531
https://support.apple.com/kb/HT6527
Microsoft Security Advisory
https://technet.microsoft.com/library/security/3009008
Cisco Security Advisory
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_Poodle_10152014.html
ISC SANS - SSLv3 POODLE Vulnerability Official Release
https://isc.sans.edu/diary.html?storyid=18827
ISC SANS - POODLE: Turning off SSLv3 for various servers and client.
https://isc.sans.edu/diary.html?storyid=18837
ISC SANS - Verifying preferred SSL/TLS ciphers with Nmap
https://isc.sans.edu/diary.html?storyid=18513
ISC SANS - Logging SSL
https://isc.sans.edu/diary.html?storyid=18847
RedHat
https://access.redhat.com/articles/1232123
http://rhn.redhat.com/errata/RHSA-2014-1652.html
http://rhn.redhat.com/errata/RHSA-2014-1653.html
Ubuntu Security Notice
http://www.ubuntu.com/usn/usn-2385-1/
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFUQTCDwZxMk2USYEIRAt77AJ9RMkE+itUlEqyM6+3f61fb1i1bBgCgrwYM
t5dvrhS4efk9NbjS8LRdye8=
=t0OR
-----END PGP SIGNATURE-----
Hash: SHA1
******************************************************************
Alert ID: GCSA-14038
Data: 17 ottobre 2014
Titolo: Vulnerabilita' nel protocollo SSL version 3 (POODLE)
******************************************************************
:: Descrizione del problema
E' stata individuata una vulnerabilita' nel protocollo
SSL versione 3 che puo' consentire ad un aggressore in rete
di intercettare i dati cleartext di una connessione sicura,
tramite un attacco di tipo man-in-the-middle.
A questa tecnica di attacco e' stato dato il nome
POODLE (Padding Oracle On Downgraded Legacy Encryption).
L'SSL versione 3 e' un protocollo superato ma viene ancora
supportato praticamente da tutti i browser per motivi di
compatibilita', e viene utilizzato come ripiego quando
non e' possibile attivare protocolli piu' moderni
come il TLS v1.x.
Un aggressore potrebbe causare problemi di connessione
ed indurre l'uso dell'SSL v3 per sfruttarne le vulnerabilita'.
Per una descrizione completa delle vulnerabilita' si rimanda
alla sezione 'Riferimenti'.
:: Software interessato
OpenSSL versioni precedenti alla 1.0.1j
OpenSSL versioni precedenti alla 1.0.0o
OpenSSL versioni precedenti alla 0.9.8zc
Cisco IOS
Microsoft Windows
Microsoft Windows Server
Apple OS X
:: Impatto
Rivelazione e modifica di informazioni
Accesso non autorizzato
:: Soluzioni
Disabiltare il supporto per SSL 3.0 sia lato server che lato client.
Questa misura potrebbe impedire a vecchie versioni di browser,
per esempio Internet Explorer 6, di stabilire connessione criptate.
Istruzioni Server Side:
Microsoft IIS https://www.digicert.com/ssl-support/iis-disabling-ssl-v3.htm
Apache https://www.digicert.com/ssl-support/apache-disabling-ssl-v3.htm
Nginx https://www.digicert.com/ssl-support/nginx-disabling-ssl-v3.htm
Istruzioni Client Side:
Internet Explorer, Mozilla Firefox, Google Chrome
https://www.digicert.com/ssl-support/disabling-browser-support-ssl-v3.htm
Aggiornare OpenSSL ad una delle seguenti versioni:
OpenSSL 1.0.1j
OpenSSL 1.0.0o
OpenSSL 0.9.8zc
Test di verifica per Server
https://www.digicert.com/help/
https://www.ssllabs.com/ssltest/
oppure
nmap -sT -PN -p 443 ip_address_server --script ssl-enum-ciphers.nse
Test di verifica per Client
https://poodletest.com/
https://www.ssllabs.com/ssltest/viewMyClient.html
:: Riferimenti
Google Online Security Blog
http://googleonlinesecurity.blogspot.it/2014/10/this-poodle-bites-exploiting-ssl-30.html
This POODLE Bites: Exploiting The SSL 3.0 Fallback
https://www.openssl.org/~bodo/ssl-poodle.pdf
OpenSSL Security Advisory
https://www.openssl.org/news/secadv_20141015.txt
Mitre's CVE ID
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3513
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3567
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3568
DigiCert Blog
https://blog.digicert.com/sslv3-vulnerability-poodle/
Qualys Blog
https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
Apple Security Update 2014-005
https://support.apple.com/kb/HT6531
https://support.apple.com/kb/HT6527
Microsoft Security Advisory
https://technet.microsoft.com/library/security/3009008
Cisco Security Advisory
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141015-poodle
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_Poodle_10152014.html
ISC SANS - SSLv3 POODLE Vulnerability Official Release
https://isc.sans.edu/diary.html?storyid=18827
ISC SANS - POODLE: Turning off SSLv3 for various servers and client.
https://isc.sans.edu/diary.html?storyid=18837
ISC SANS - Verifying preferred SSL/TLS ciphers with Nmap
https://isc.sans.edu/diary.html?storyid=18513
ISC SANS - Logging SSL
https://isc.sans.edu/diary.html?storyid=18847
RedHat
https://access.redhat.com/articles/1232123
http://rhn.redhat.com/errata/RHSA-2014-1652.html
http://rhn.redhat.com/errata/RHSA-2014-1653.html
Ubuntu Security Notice
http://www.ubuntu.com/usn/usn-2385-1/
GARR CERT Newsletter subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iD8DBQFUQTCDwZxMk2USYEIRAt77AJ9RMkE+itUlEqyM6+3f61fb1i1bBgCgrwYM
t5dvrhS4efk9NbjS8LRdye8=
=t0OR
-----END PGP SIGNATURE-----