问题标签 [poodle-attack]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - Rails omniauth facebook SSL 握手失败
我的应用程序已经运行好几个月了,突然登录不起作用,我明白了:
2014-10-18T18:09:33.971670+00:00 app[web.1]: Faraday::SSLError (SSL_connect returned=1 errno=0 state=SSLv3 read server hello A: sslv3 alert handshake failure):
2014-10-18T18:09:33.971672+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `connect'
2014-10-18T18:09:33.971674+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `block in connect'
2014-10-18T18:09:33.971675+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/timeout.rb:52:in `timeout'
2014-10-18T18:09:33.971676+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:918:in `connect'
2014-10-18T18:09:33.971678+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:862:in `do_start'
2014-10-18T18:09:33.971679+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:851:in `start'
2014-10-18T18:09:33.971680+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:1367:in `request'
2014-10-18T18:09:33.971682+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:27:in `block (2 leve
ls) in request_with_newrelic_trace'
2014-10-18T18:09:33.971683+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent.rb:404:in `disable_all_tracing'
2014-10-18T18:09:33.971685+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:26:in `block in requ
est_with_newrelic_trace'
2014-10-18T18:09:33.971686+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/cross_app_tracing.rb:41:in `trace_http_requ
est'
2014-10-18T18:09:33.971687+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/agent/instrumentation/net.rb:23:in `request_with_
newrelic_trace'
2014-10-18T18:09:33.971689+00:00 app[web.1]: vendor/ruby-2.0.0/lib/ruby/2.0.0/net/http.rb:1126:in `get'
2014-10-18T18:09:33.971690+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/adapter/net_http.rb:78:in `perform_request'
2014-10-18T18:09:33.971691+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/adapter/net_http.rb:39:in `call'
2014-10-18T18:09:33.971693+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/request/url_encoded.rb:15:in `call'
2014-10-18T18:09:33.971694+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/rack_builder.rb:139:in `build_response'
2014-10-18T18:09:33.971695+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/faraday-0.9.0/lib/faraday/connection.rb:377:in `run_request'
2014-10-18T18:09:33.971696+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/cli
ent.rb:88:in `request'
2014-10-18T18:09:33.971698+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/access_token.rb:99:in `request'
2014-10-18T18:09:33.971699+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/oauth2-0.8.1/lib/oauth2/access_token.rb:106:in `get'
2014-10-18T18:09:33.971700+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-facebook-access-token-0.1.3/lib/omniauth/strategies/facebook-access-token.rb:
90:in `callback_phase'
2014-10-18T18:09:33.971702+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:227:in `callback_call'
2014-10-18T18:09:33.971703+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:184:in `call!'
2014-10-18T18:09:33.971704+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:164:in `call'
2014-10-18T18:09:33.971706+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:186:in `call!'
2014-10-18T18:09:33.971707+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/strategy.rb:164:in `call'
2014-10-18T18:09:33.971708+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/omniauth-1.2.1/lib/omniauth/builder.rb:59:in `call'
2014-10-18T18:09:33.971709+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/error_collector.rb:55:in `call'
2014-10-18T18:09:33.971711+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/agent_hooks.rb:32:in `call'
2014-10-18T18:09:33.971712+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/newrelic_rpm-3.8.1.221/lib/new_relic/rack/browser_monitoring.rb:27:in `call'
2014-10-18T18:09:33.971713+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/rack-ssl-1.4.1/lib/rack/ssl.rb:27:in `call'
2014-10-18T18:09:33.971714+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/warden-1.2.3/lib/warden/manager.rb:35:in `block in call'
2014-10-18T18:09:33.880979+00:00 app[web.1]: I, [2014-10-18T18:09:33.880840 #15] INFO -- omniauth: (facebook_access_token) Callback phase initiated.
2014-10-18T18:09:33.971716+00:00 app[web.1]: vendor/bundle/ruby/2.0.0/gems/warden-1.2.3/lib/warden/manager.rb:34:in `catch'
我无意中偶然发现了一条推文,其中提到 facebook 以某种方式悄悄地处理了贵宾犬漏洞,我觉得这与我所经历的有关。我不知道如何解决它
mina - Apache Mina x Poodle 错误
如何在 apache mina SslFilter 中禁用 ssl v3 支持? https://mina.apache.org/
internet-explorer - POODLE漏洞、JBoss和IE
所以,我有 JBoss 5.1.0 GA,我在这里读到了我需要如何禁用 SSLv3:
https://access.redhat.com/solutions/1232233
这里没有提到的是我还需要摆脱所有支持回退到 SSLv3 的密码。当我这样做时,我在这个网站上得到了一个“绿色复选标记”
https://www.tinfoilsecurity.com/poodle
这基本上是确认我已经保护了我的服务器并且不再支持 SSLv3,但是现在我无法使用 IE(所有版本的 IE)访问我的网站。由于我在 server.xml 配置中的密码列表中只有 4 个密码,因此我的目标是在此列表中添加更多密码,以使 IE 正常工作。我添加了 50 多个密码,但 IE 仍然无法加载我的网站。这是我到目前为止使用的所有密码的列表(我从这里获得了列表(https://www.openssl.org/docs/apps/ciphers.html):
TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA, TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA, TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA, TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA, TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA, TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA, TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA, TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA, TLS_DH_DSS_WITH_SEED_CBC_SHA, TLS_DH_RSA_WITH_SEED_CBC_SHA, TLS_DHE_DSS_WITH_SEED_CBC_SHA, TLS_DHE_RSA_WITH_SEED_CBC_SHA, TLS_RSA_WITH_NULL_MD5, TLS_RSA_WITH_NULL_SHA, TLS_RSA_EXPORT_WITH_RC4_40_MD5, TLS_RSA_WITH_RC4_128_MD5, TLS_RSA_WITH_RC4_128_SHA, TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5, TLS_RSA_WITH_IDEA_CBC_SHA, TLS_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_RSA_WITH_DES_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DH_DSS_WITH_DES_CBC_SHA,TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DH_RSA_WITH_DES_CBC_SHA, TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_DSS_WITH_DES_CBC_SHA, TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA, TLS_DHE_RSA_WITH_DES_CBC_SHA, TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_DH_DSS_WITH_AES_128_CBC_SHA, TLS_DH_DSS_WITH_AES_256_CBC_SHA, TLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHATLS_DH_RSA_WITH_AES_128_CBC_SHA, TLS_DH_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_DSS_WITH_AES_128_CBC_SHA, TLS_DHE_DSS_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_KRB5_WITH_RC4_128_MD5, TLS_KRB5_WITH_RC4_128_SHA
这些密码都不适用于 IE,这意味着当我使用 IE 访问我的服务器时,我得到“无法显示此页面”。
有人可以帮我弄这个吗?有没有我可以使用的密码,它不会在我的服务器上打开 SSLv3,并且也可以与 IE 一起使用?
更新:如果我实施 RedHat 建议的解决方案(即将 sslProtocols 更改为“TLSv1,TLSv1.1,TLSv1.2”):
- 启动 JBoss 时出现错误提示“TLSv1、TLSv1.1、TLSv1.2 SSLContext 不可用”。这意味着这个字符串是无效的,我必须只使用这些协议之一。好吧,我会选择最安全的一个:“TLS1.2”
- 另一个问题是在 RedHat 解决方案中,没有提及密码。我的印象是不再需要“密码”元素,所以我从 server.xml 中删除了它,将 sslProtocols 值更改为“TLSv1.2”并扫描了我的服务器。它仍然很脆弱!
- 我尝试设置 TLSv1.1 和 TLSv1。这没用。似乎 sslProtocols 元素对服务器使用的协议没有任何影响,这意味着只有 ciphers 元素有一些价值。
- 好吧,好吧,我说...我会找到一些 TLSv1.2 特定的密码,然后我会在那里添加它,从而紧紧保护我的服务器。我从https://www.openssl.org/docs/apps/ciphers.html链接中指定的列表中添加了所有 TLSv1.2 密码。扫描我的服务器,得到一个“绿色复选标记”,一切正常且安全......试图通过任何浏览器访问我的服务器......“无法打开页面”。Chrome:ERR_SSL_VERSION_OR_CIPHER_MISMATCH Firefox:ssl_error_no_cypher_overlap IE:无法打开页面(没有礼貌地告诉我原因)什么鬼?!我现在该怎么办?
- 好的,我将从https://www.openssl.org/docs/apps/ciphers.html列表中自下而上开始添加密码,跳过 SSLv3 密码。我得到了这个(非常短的)列表:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,(IE 仅适用于此密码) TLS_DHE_RSA_WITH_AES_128_CBC_SHA,(FF、Chrome 和 Safari 使用此密码)TLS_DHE_RSA_WITH_AES_256_CBC_SHA,(FF、Chrome 和 Safari 使用此密码)所有浏览器都工作,事情看起来不错。 https://www.tinfoilsecurity.com/poodle -> 绿色复选标记,一切都好!为了安全起见,让我们尝试更多的在线扫描仪... https://www.expeditedssl.com/poodle -> 不易受到攻击。伟大的! https://www.poodlescan.com/ -> 易受攻击!去他妈的!
- 终极扫描:ssllabs.com ... 易受攻击!
我在这里失去理智......请帮助!
UPDATE2:经过 2 天试图找出问题所在... RedHat 建议的修复包含元素 sslProtocol***s*** 而不是 sslProtocol(注意最后没有“s”),我正在使用的,并且在官方 JbossWeb 文档http://docs.jboss.org/jbossweb/2.1.x/config/http.html中有描述
我刚刚添加了 sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" 并删除了 "ciphers" 元素,一切都按预期工作。
android - Android Poodlebleed TLS Support
In regards to the POODLE attack, I was wondering if Android or Android Browsers supports TLS protocol or not? And What could be done to prevent this attack
ruby-on-rails - 适用于 PayPal 的 ActiveMerchant Poodle 补丁
我正在使用 Rails 3、ActiveMerchant 1.5.1 gem 和 PayPal express。由于最近我无法通过 PayPal 进行付款,因此继续收到此错误
OpenSSL::SSL::SSLError: SSL_connect returned=1 errno=0 state=SSLv3 read server certificate B: certificate verify failed
我相信这与PayPal 对 Poodle的回应有关。ActiveMerchant 是否有任何补丁来解决这些 PayPal 更改或一般的 SSL 3.0 漏洞?
sql - 在 SQL Server 上禁用 SSL,现在连接失败
我有一位客户担心最新的 SSL 漏洞POODLE。他们有一个实用程序(IIS Crypto 1.4),可以在他们运行的服务器上禁用 SSL 2.0-3.0。他们在我的服务正在运行的服务器和远程 SQL Server 上都禁用了 SSL。SQL 连接字符串非常标准:
当我的服务启动时,它会尝试执行 Linq to SQL 查询并得到错误:
与服务器成功建立连接,但在登录前握手期间发生错误。(提供者:TCP 提供者,错误:0 - 现有连接被远程主机强行关闭。)
如果他们在 SQL Server 上重新启用 SSL,它就可以正常工作。我的程序是基于 .NET 3.5 构建的 Windows 服务。此错误的原因是什么,我可以在哪里进行调整以便我的服务能够运行?
ssl - TLS(传输层安全)是否支持 HTTPS?
由于 SSLv3 上存在的漏洞( https://access.redhat.com/articles/1232123 ),我将把 SSLv3 更改为 TLS 1.0我不确定 TLS 1.0 是否可以支持 HTTPS?请就此给我建议。欢迎本领域前辈撰写的官方文件
java - 是否可以对所有 Java 应用程序禁用 SSLv3?
由于 Poodle 攻击,现在建议为客户端和服务器应用程序禁用 SSLv3,并且只允许 TLS 1.0 -TLS 1.2 连接。
有没有办法为计算机上所有基于 Java 的应用程序(服务器和客户端)禁用 SSLv3,而无需修改每个 Java 程序?
可能有可能更改 JRE 的配置或使用特殊的环境变量。
有人知道这样的方法吗?
ssl - 自托管 Web API 2 (OWIN) 和 SSL 3 POODLE?
只是想知道自托管 WebAPI 应用程序是否受到 POODLE 攻击的影响。我们正在使用 netsh 为我们的 Web API 2 应用程序配置 SSLCERT。有没有办法禁用 SSLv3?
谢谢。
javascript - Detecting SSL3 in Browser using Javascript
Working on the latest SSL3 vulnerability (POODLE) and wondering if you can detect if the browser viewing the website has SSL3 enabled in their settings and if so prompt them with a message.