Hướng dẫn khắc phục lỗ hổng SSL 3.0

Các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet.

 

images thumb 65b1ee38 7298 4f15 8ee6 0bc030002aeb

Thứ Ba (14/10), các chuyên gia nghiên cứu của Google thông báo tìm ra lỗ hổng POODLE trên giao thức SSL 3.0. Khai thác thành công, hacker có thể đánh cắp cookie và dữ liệu liên quan khác của người dùng Internet.

Ông Nguyễn Hồng Sơn, Trưởng phòng Nghiên cứu An ninh mạng Bkav nhận định: “Về lý thuyết đây là một lỗ hổng nghiêm trọng, tuy nhiên khả năng khai thác thành công trong thực tế là thấp. Để khai thác được, cả server và trình duyệt của nạn nhân đều phải sử dụng giao thức SSL 3.0. và phải có lượng dữ liệu đủ lớn được gửi từ nạn nhân đến server.”
Tuy nhiên, để đảm bảo an toàn các quản trị hệ thống nên tắt SSL 3.0. Hướng dẫn chi tiết như sau:

-Kiểm tra web server có hỗ trợ SSL 3.0 hay không bạn có thể dùng openssl trên linux với câu lệnh sau:

openssl s_client -connect domain: port -ssl3

kết quả câu lệnh trả về như sau có nghĩa server của bạn đã được tắt SSL3.0 :

 


New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

Còn nếu kết quả như sau :

 


New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE

Bạn nên thực hiện tắt giao thức này theo hướng dẫn cho hệ điều hành tương ứng bên dưới: 

Đối với hệ điều hành Windows: 

Bước 1: Bạn tìm key trong registry: 

 

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProv iders\SCHANNEL\Protocols\SSL 3.0\Server\

Bước 2 : Tao mới một value(nếu chưa có) là Enabled kiểu DWORD 32bit và set giá trị là 0x00000000

Lưu ý: nếu không tồn tại key SSL 3.0\Server\ bạn hãy tạo thêm key này

Đối với hệ điều hành linux:

Bước 1: tìm vị trí của file ssl.conf :

locate ssl.conf

Bước 2: sửa file ssl.conf : 

vi /path/ssl.conf

Bước 3: tìm tới dòng SSLProtocol và sửa thành

SSLProtocol all -SSLv2 -SSLv3