POODLE = Padding Oracle On Downgraded Legacy Encryption
首先, 这是一个迟来的命名,但安全问题仍然可怕。最新的安全漏洞 (CVE-2014-3566) 代号是 POODLE, 这是一个缩写,按照上面的标题有实际的意义吗?
这个漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似,但是目前还没有可靠的解决办法,除非完全禁用 SSLv3 的支持。简单的说,攻击者可获取你加密流中的明文数据。
还是让我们来看看如何处理吧,Mozilla Security Wiki Serverside TLS 之前建议使用严格的协议和加密方法限制,值得我们注意。
Apache
在Apache 的 SSL 配置中禁用 SSLv3 和 SSLv3:
SSLProtocol all -SSLv2 -SSLv3
Nginx
在 Nginx 只允许使用 TLS 协议:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
MySQL
值得注意的是,除非你在 MySQL 5.6 中部署 sha256_password 插件,plugin for MySQL 5.6 就会在验证握手之前必须完成SSL/TLS连接协商,因此这种攻击向量只成为一个问题 —— 有效的登录访问的数据流。( sha256_password 提供一个选项使用 SSL/TLS 的认证)
这使得事情变得更加有趣,和 Apache 和 Nginx 不同的是,没有方法来完全启用和禁用 SSL/TLS 协议,但可以 指定 SSL 通讯的加密规范.
要在 MySQL 删除 SSLv3