POODLE (Padding Oracle On Downgraded Legacy Encryption) is een kwetsbaarheid die werd gevonden op 14 oktober 2014, waardoor een aanvaller alle versleutelde informatie kan lezen met behulp van het SSLv3-protocol door een man-in-the-middle-aanval uit te voeren. Hoewel veel programma's SSLv3 als terugval gebruiken, is het zover gekomen dat het moet worden uitgeschakeld - aangezien veel clients gedwongen kunnen worden om SSLv3 te gebruiken. Een klant dwingen tot SSLv3 vergroot de kans dat er een aanval plaatsvindt. Dit artikel laat zien hoe u SSLv3 kunt uitschakelen in geselecteerde softwaretoepassingen die tegenwoordig veel worden gebruikt.
Ga naar het configuratiebestand waar uw serverinformatie is opgeslagen. Bijvoorbeeld /etc/nginx/sites-enabled/ssl.example.com.conf(het pad vervangen overeenkomstig uw configuratie). Zoek in het bestand naar ssl_protocols. Zorg ervoor dat deze regel bestaat en overeenkomt met het volgende:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Dit dwingt het gebruik van TLS af, waardoor SSLv3 (en alle oudere of verouderde protocollen) worden uitgeschakeld. Start nu uw Nginx-server opnieuw op door een van de volgende opdrachten uit te voeren.
CentOS 7 :
systemctl restart nginx
Ubuntu / Debian :
service nginx restart
Om SSLv3 uit te schakelen, gaat u naar de configuratiemap van uw module voor Apache. Op Ubuntu / Debian kan het zijn /etc/apache2/mod-available. Op CentOS bevindt het zich mogelijk in /etc/httpd/conf.d. Zoek het ssl.confbestand. Open ssl.confen vind de SSLProtocolrichtlijn. Zorg ervoor dat deze regel bestaat en overeenkomt met het volgende:
SSLProtocol all -SSLv3 -SSLv2
Als u klaar bent, slaat u uw server op en start u hem opnieuw op door een van de volgende opdrachten uit te voeren.
Voor Ubuntu / Debian-run:
CentOS 7 :
systemctl restart httpd
Ubuntu / Debian :
service apache2 restart
Ga naar je postfixdirectory. Het is typisch /etc/postfix/. Open het main.cfbestand en zoek naar smtpd_tls_mandatory_protocols. Zorg ervoor dat deze regel bestaat en overeenkomt met het volgende:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1, TLSv1.2
Dit zorgt ervoor dat TLSv1.1 en TLSv1.2 worden ingeschakeld en gebruikt op uw Postfix-server. Als u klaar bent, slaat u op en start u opnieuw op.
CentOS 7 :
systemctl restart postfix
Ubuntu / Debian :
service postfix restart
Open het bestand op /etc/dovecot/conf.d/10-ssl.conf. Zoek vervolgens de regel die bevat ssl_protocolsen zorg ervoor dat deze overeenkomt met het volgende:
ssl_protocols = !SSLv2 !SSLv3 TLSv1.1 TLSv1.2
Eens klaar, bewaar en herstart Dovecot.
CentOS 7 :
systemctl restart dovecot
Ubuntu / Debian :
service dovecot restart
Om te controleren of SSLv3 is uitgeschakeld op uw webserver, voert u de volgende opdracht uit (vervang domein en IP overeenkomstig):
openssl s_client -servername example.com -connect 0.0.0.0:443 -ssl3
U ziet uitvoer die er ongeveer als volgt uitziet:
CONNECTED(00000003)
140060449216160:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1260:SSL alert number 40
140060449216160:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596:
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 0 bytes
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1414181774
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Als u wilt bevestigen dat uw server TLS gebruikt, voert u dezelfde opdracht uit, maar zonder -ssl3:
openssl s_client -servername example.com -connect 0.0.0.0:443
U zou vergelijkbare informatie moeten zien verschijnen. Lokaliseer de Protocollijn en bevestig dat deze wordt gebruikt TLSv1.X(waarbij X 1 of 2 is, afhankelijk van uw configuratie). Als je dit ziet, dan heb je SSLv3 succesvol uitgeschakeld op je webserver.
Ransomware-aanvallen nemen toe, maar kan AI helpen het nieuwste computervirus het hoofd te bieden? Is AI het antwoord? Lees hier weten is AI boezem of vloek
ReactOS, een open source en gratis besturingssysteem is hier met de nieuwste versie. Kan het voldoen aan de behoeften van moderne Windows-gebruikers en Microsoft uitschakelen? Laten we meer te weten komen over deze oude stijl, maar een nieuwere OS-ervaring.
WhatsApp heeft eindelijk de Desktop-app voor Mac- en Windows-gebruikers gelanceerd. Nu heb je eenvoudig toegang tot WhatsApp vanuit Windows of Mac. Beschikbaar voor Windows 8+ en Mac OS 10.9+
Lees dit om te weten hoe kunstmatige intelligentie populair wordt onder de kleinschalige bedrijven en hoe het de kansen vergroot om ze te laten groeien en hun concurrenten voorsprong te geven.
Onlangs heeft Apple macOS Catalina 10.15.4 uitgebracht, een aanvullende update om problemen op te lossen, maar het lijkt erop dat de update meer problemen veroorzaakt die ertoe leiden dat mac-machines worden gemetseld. Lees dit artikel voor meer informatie
13 Commerciële data-extractietools voor big data
Onze computer slaat alle gegevens op een georganiseerde manier op, het zogenaamde Journaling-bestandssysteem. Het is een efficiënte methode waarmee de computer bestanden kan zoeken en weergeven zodra u op zoeken drukt.https://wethegeek.com/?p=94116&preview=true
Naarmate de wetenschap zich snel ontwikkelt en veel van onze inspanningen overneemt, nemen ook de risico's toe om onszelf te onderwerpen aan een onverklaarbare singulariteit. Lees, wat singulariteit voor ons kan betekenen.
Een inzicht in 26 Big Data-analysetechnieken: deel 1
AI in de zorg heeft de afgelopen decennia grote sprongen gemaakt. De toekomst van AI in de gezondheidszorg groeit dus nog steeds met de dag.
