问题标签 [poodle-attack]

我的应用程序已经运行好几个月了，突然登录不起作用，我明白了：

2014-10-18T18:09:33.971670+00:00 app[web.1]: Faraday::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server hello A: sslv3 alert handshake failure): 2014-10-18T18:09:33.971672+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `connect' 2014-10-18T18:09:33.971674+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `block in connect' 2014-10-18T18:09:33.971675+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/timeout.rb:52:in `timeout' 2014-10-18T18:09:33.971676+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `connect' 2014-10-18T18:09:33.971678+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:862:in `do_start' 2014-10-18T18:09:33.971679+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:851:in `start' 2014-10-18T18:09:33.971680+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:1367:in `request' 2014-10-18T18:09:33.971682+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:27:in `block (2 leve ls) in request_with_newrelic_trace' 2014-10-18T18:09:33.971683+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent.rb:404:in `disable_all_tracing' 2014-10-18T18:09:33.971685+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:26:in `block in requ est_with_newrelic_trace' 2014-10-18T18:09:33.971686+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/cross_app_tracing.rb:41:in `trace_http_requ est' 2014-10-18T18:09:33.971687+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:23:in `request_with_ newrelic_trace' 2014-10-18T18:09:33.971689+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:1126:in `get' 2014-10-18T18:09:33.971690+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/adapter/net_http.rb:78:in `perform_request' 2014-10-18T18:09:33.971691+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/adapter/net_http.rb:39:in `call' 2014-10-18T18:09:33.971693+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/request/url_encoded.rb:15:in `call' 2014-10-18T18:09:33.971694+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/rack_builder.rb:139:in `build_response' 2014-10-18T18:09:33.971695+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/connection.rb:377:in `run_request' 2014-10-18T18:09:33.971696+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/cli ent.rb:88:in `request' 2014-10-18T18:09:33.971698+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/access_token.rb:99:in `request' 2014-10-18T18:09:33.971699+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/access_token.rb:106:in `get' 2014-10-18T18:09:33.971700+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-facebook-access-token-0.1.3/lib/omniauth/strategies/facebook-access-token.rb: 90:in `callback_phase' 2014-10-18T18:09:33.971702+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:227:in `callback_call' 2014-10-18T18:09:33.971703+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:184:in `call!' 2014-10-18T18:09:33.971704+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:164:in `call' 2014-10-18T18:09:33.971706+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:186:in `call!' 2014-10-18T18:09:33.971707+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:164:in `call' 2014-10-18T18:09:33.971708+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/builder.rb:59:in `call' 2014-10-18T18:09:33.971709+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/error_collector.rb:55:in `call' 2014-10-18T18:09:33.971711+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/agent_hooks.rb:32:in `call' 2014-10-18T18:09:33.971712+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/browser_monitoring.rb:27:in `call' 2014-10-18T18:09:33.971713+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/rack-ssl-1.4.1/lib/rack/ssl.rb:27:in `call' 2014-10-18T18:09:33.971714+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/warden-1.2.3/lib/warden/manager.rb:35:in `block in call' 2014-10-18T18:09:33.880979+00:00 app[web.1]: I, [2014-10-18T18:09:33.880840 #15] INFO -- omniauth: (facebook_access_token) Callback phase initiated. 2014-10-18T18:09:33.971716+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/warden-1.2.3/lib/warden/manager.rb:34:in `catch'

我无意中偶然发现了一条推文，其中提到 facebook 以某种方式悄悄地处理了贵宾犬漏洞，我觉得这与我所经历的有关。我不知道如何解决它

如何在 apache mina SslFilter 中禁用 ssl v3 支持？ https://mina.apache.org/

所以，我有 JBoss 5.1.0 GA，我在这里读到了我需要如何禁用 SSLv3：

https://access.redhat.com/solutions/1232233

这里没有提到的是我还需要摆脱所有支持回退到 SSLv3 的密码。当我这样做时，我在这个网站上得到了一个“绿色复选标记”

https://www.tinfoilsecurity.com/poodle

这基本上是确认我已经保护了我的服务器并且不再支持 SSLv3，但是现在我无法使用 IE（所有版本的 IE）访问我的网站。由于我在 server.xml 配置中的密码列表中只有 4 个密码，因此我的目标是在此列表中添加更多密码，以使 IE 正常工作。我添加了 50 多个密码，但 IE 仍然无法加载我的网站。这是我到目前为止使用的所有密码的列表（我从这里获得了列表（https://www.openssl.org/docs/apps/ciphers.html）：

TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA, TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA, TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA, TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA, TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA, TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA, TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA, TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA, TLS_DH_DSS_WITH_SEED_CBC_SHA, TLS_DH_RSA_WITH_SEED_CBC_SHA, TLS_DHE_DSS_WITH_SEED_CBC_SHA, TLS_DHE_RSA_WITH_SEED_CBC_SHA, TLS_RSA_WITH_NULL_MD5, TLS_RSA_WITH_NULL_SHA, TLS_RSA_EXPORT_WITH_RC4_40_MD5, TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5, TLS_RSA_WITH_IDEA_CBC_SHA, TLS_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DH_DSS_WITH_DES_CBC_SHA,TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DH_RSA_WITH_DES_CBC_SHA, TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHA

这些密码都不适用于 IE，这意味着当我使用 IE 访问我的服务器时，我得到“无法显示此页面”。

有人可以帮我弄这个吗？有没有我可以使用的密码，它不会在我的服务器上打开 SSLv3，并且也可以与 IE 一起使用？

更新：如果我实施 RedHat 建议的解决方案（即将 sslProtocols 更改为“TLSv1，TLSv1.1，TLSv1.2”）：

1. 启动 JBoss 时出现错误提示“TLSv1、TLSv1.1、TLSv1.2 SSLContext 不可用”。这意味着这个字符串是无效的，我必须只使用这些协议之一。好吧，我会选择最安全的一个：“TLS1.2”
2. 另一个问题是在 RedHat 解决方案中，没有提及密码。我的印象是不再需要“密码”元素，所以我从 server.xml 中删除了它，将 sslProtocols 值更改为“TLSv1.2”并扫描了我的服务器。它仍然很脆弱！
3. 我尝试设置 TLSv1.1 和 TLSv1。这没用。似乎 sslProtocols 元素对服务器使用的协议没有任何影响，这意味着只有 ciphers 元素有一些价值。
4. 好吧，好吧，我说...我会找到一些 TLSv1.2 特定的密码，然后我会在那里添加它，从而紧紧保护我的服务器。我从https://www.openssl.org/docs/apps/ciphers.html链接中指定的列表中添加了所有 TLSv1.2 密码。扫描我的服务器，得到一个“绿色复选标记”，一切正常且安全......试图通过任何浏览器访问我的服务器......“无法打开页面”。Chrome：ERR_SSL_VERSION_OR_CIPHER_MISMATCH Firefox：ssl_error_no_cypher_overlap IE：无法打开页面（没有礼貌地告诉我原因）什么鬼？！我现在该怎么办？
5. 好的，我将从https://www.openssl.org/docs/apps/ciphers.html列表中自下而上开始添加密码，跳过 SSLv3 密码。我得到了这个（非常短的）列表：TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA，（IE 仅适用于此密码） TLS_DHE_RSA_WITH_AES_128_CBC_SHA，（FF、Chrome 和 Safari 使用此密码）TLS_DHE_RSA_WITH_AES_256_CBC_SHA，（FF、Chrome 和 Safari 使用此密码）所有浏览器都工作，事情看起来不错。 https://www.tinfoilsecurity.com/poodle -> 绿色复选标记，一切都好！为了安全起见，让我们尝试更多的在线扫描仪... https://www.expeditedssl.com/poodle -> 不易受到攻击。伟大的！ https://www.poodlescan.com/ -> 易受攻击！去他妈的！
6. 终极扫描：ssllabs.com ... 易受攻击！

我在这里失去理智......请帮助！

UPDATE2：经过 2 天试图找出问题所在... RedHat 建议的修复包含元素 sslProtocol***s*** 而不是 sslProtocol（注意最后没有“s”），我正在使用的，并且在官方 JbossWeb 文档http://docs.jboss.org/jbossweb/2.1.x/config/http.html中有描述

我刚刚添加了 sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" 并删除了 "ciphers" 元素，一切都按预期工作。

In regards to the POODLE attack, I was wondering if Android or Android Browsers supports TLS protocol or not? And What could be done to prevent this attack

我正在使用 Rails 3、ActiveMerchant 1.5.1 gem 和 PayPal express。由于最近我无法通过 PayPal 进行付款，因此继续收到此错误

OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed

我相信这与PayPal 对 Poodle的回应有关。ActiveMerchant 是否有任何补丁来解决这些 PayPal 更改或一般的 SSL 3.0 漏洞？

我有一位客户担心最新的 SSL 漏洞POODLE。他们有一个实用程序（IIS Crypto 1.4），可以在他们运行的服务器上禁用 SSL 2.0-3.0。他们在我的服务正在运行的服务器和远程 SQL Server 上都禁用了 SSL。SQL 连接字符串非常标准：

当我的服务启动时，它会尝试执行 Linq to SQL 查询并得到错误：

与服务器成功建立连接，但在登录前握手期间发生错误。（提供者：TCP 提供者，错误：0 - 现有连接被远程主机强行关闭。）

如果他们在 SQL Server 上重新启用 SSL，它就可以正常工作。我的程序是基于 .NET 3.5 构建的 Windows 服务。此错误的原因是什么，我可以在哪里进行调整以便我的服务能够运行？

由于 SSLv3 上存在的漏洞（ https://access.redhat.com/articles/1232123 ），我将把 SSLv3 更改为 TLS 1.0我不确定 TLS 1.0 是否可以支持 HTTPS？请就此给我建议。欢迎本领域前辈撰写的官方文件

由于 Poodle 攻击，现在建议为客户端和服务器应用程序禁用 SSLv3，并且只允许 TLS 1.0 -TLS 1.2 连接。

有没有办法为计算机上所有基于 Java 的应用程序（服务器和客户端）禁用 SSLv3，而无需修改每个 Java 程序？

可能有可能更改 JRE 的配置或使用特殊的环境变量。

有人知道这样的方法吗？

只是想知道自托管 WebAPI 应用程序是否受到 POODLE 攻击的影响。我们正在使用 netsh 为我们的 Web API 2 应用程序配置 SSLCERT。有没有办法禁用 SSLv3？

谢谢。

Working on the latest SSL3 vulnerability (POODLE) and wondering if you can detect if the browser viewing the website has SSL3 enabled in their settings and if so prompt them with a message.