آسیب پذیری و ضعف پروتکل SSLv3 مدت های زیادی است که در بستر اینترنت وجود دارد، در حملات Poodle ، مهاجم می تواند با سوء استفاده از ضعف موجود در پروتکل SSLv3 به ترافیک رمزنشده ی کاربر دست رسی پیدا کند. برای این کار لازم است مهاجم در ابتدا ارتباط کاربر را به نحوی تغییر دهد که در آن برای رمز نگاری از پروتکل قدیمی SSLv3 استفاده کند، این امر با استفاده از این ویژگی انجام می پذیرد که در صورت بروز خطا در برقراری یک ارتباط رمزنگاری، کارگزار یا سرویس گیرنده (در این جا مرورگر وب) سعی در ایجاد ارتباط با یک پروتکل قدیمی می کند.
این مشکل از یک ضعف در پروتکل SSLv3 ناشی می شود و تنها راه حل رفع این مشکل غیرفعال کردن این پروتکل میباشد.
روش های جلوگیری از آسیب پذیری Poodle در سرور
– غیر فعال کردن SSLv3 در وب سرور Apache
در فایل تنظیمات Apache خط زیر را اضافه ( یا ویرایش کنید)
SSLProtocol all -SSLv2 -SSLv3 - تنظیمات فایل configuration وب سرور apache معمولا در مسیرهای زیر قرار دارد.
/etc/apache2 /etc/httpd
در پایان apache را restart کنید.
– غیر فعال کردن SSLv3 در وب سرور Nginx
در فایل تنظیمات nginx.conf خط زیر را اضافه کنید.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
در پایان سرویس nginx را restart کنید.
– غیرفعال کردن در سرویس Dovecot
فایل config مربوط به dovecot را ویرایش کنید.
/etc/dovecot/dovecot.conf
و مقادیر زیر را در آن قرار دهید.
ssl_protocols = !SSLv2 !SSLv3 ssl_cipher_list = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
-غیرفعال کردن در سرویس Exim
فایل exim.conf را ویرایش نمایید و خط زیر را به آن اضافه کنید.
openssl_options = +no_sslv2 +no_sslv3 tls_require_ciphers = ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-EXP
– غیرفعال کردن SSLv3 در Directadmin
در فایل directadmin.conf مقادیر زیر را اضافه کنید.
ssl_cipher=ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP
در پایان سرویس directadmin را restart کنید.
