问题标签 [poodle-attack]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
0 回答
181 浏览

ssl - 将 SSL 3.0 更新为 TLS 指南

我收到了关于贵宾犬 SSL 3.0 情况的电子邮件。和其他人一样,我真的很想在 12 月 3 日截止日期到来之前解决这个问题。我一直在尝试了解如何从 SSL 3.0 更新到 TLS,因为 PayPal 说这很容易,这对大多数人来说可能是正确的,但对我来说有点不知所措。在这里,我问是否有人有一个非常好的演练,我可以看看来解决这个问题?或者甚至在这里加入一个步骤也很棒!我尝试联系贝宝,但他们没有为我提供所需的指导。

我很感激!!

0 投票
0 回答
252 浏览

android - Facebook 登录不起作用 - 图形用户始终为 null 并且 SSL 库中的失败

我有一个应用程序已经启动到 Play 商店,Facebook 登录工作正常,但客户端已请求更改。已进行更改,现在我们正在测试应用程序,但 Facebook 登录已停止工作。没有明确的错误消息,除了:

按下登录按钮后会出现这些错误。

当用户未登录时,LoginButton 在按下并进行身份验证(使用或不使用 SSO)时显示“使用 facebook 登录”,然后它将显示“注销”但 Graph 用户为空,我无法检索用户名或显示图片。

我知道这篇文章:并且已经使用了 Facebook 的最新 SDK,但没有任何效果。

这是我的代码- 我禁用了 SSO 登录,但问题仍然存在。

我应该更改 SDK 中的某些内容以防止 SSLv3 或强制 TLSv1?

测试的手机:Note 2 stock ROM、Galaxy S4 Stock ROM、Samsung S3 4.2.2 CyanogenMod、Xiami Note ROM、Galaxy S2 stock ROM。

没有错误的手机:Note 3 stock ROM

0 投票
1 回答
231 浏览

sonarqube - sonarqube 禁用弱 sslv3 密码

我正在通过 SSL 运行 Sonarqube 4.0。我想禁用易受攻击的 SSLv3 协议,只允许 TLSv1 或更高版本。这可能吗?如果是这样,需要更改什么设置?

0 投票
0 回答
4383 浏览

ssl - SSL_HANDSHAKE 错误 Domino TLS 传出

我们有 5 个客户从 Domino 运行相同的 WebService 这个周末我们用 Domino 9.01 更新了客户服务器。FP2 和 Poodle 修复包能够运行 TLS 1.0 传入和传出。

4 客户完美运行 1 客户收到传出 Web 服务的 SSL 错误(与我们更新服务器之前的错误相同),传入的 TLS 工作正常,因此我们猜测 Poodle 的更新已按预期工作。

在为一个工作和失败的服务器设置 som DEBUG_SSL 参数后,我们得到了这个日志

失败的行是

S_Read> nti_done 返回 0 字节 rc = 9

而不是有意的

S_Read> nti_done 返回 5 个字节 rc = 0

SSL_RCV> 00000000: 16 03 01 00 2E

我已经搜索了谷歌,没有任何东西可以理解缺少什么我的猜测是在协商密码时存在一些问题,但是为什么以及如何解决这个问题。我知道那里有一些聪明人;-)

从失败的服务器握手记录

...

从工作服务器握手记录

……

/斯蒂芬

PS:这是握手错误后出现的 Java 错误

0 投票
0 回答
458 浏览

openssl - 如何从 openSSL 0.9.8zc 禁用 SSLv3

我有一个带有 openSSL 0.9.8zc 的服务器,该浏览器可以访问它。我试图保护服务器免受 POODLE 攻击,通过从 openSSL 禁用 SSLv3 服务器是在 MSDEV 2005 中构建的 我修改了文件:openssl\Configure 并添加到部分:“my %disabled =”,以下两个行:

然后再次编译 openssl 模块。检查构建输出,我确认没有创建许多构建对象,这很好。例如:s2_clnt.obj、ssl_algs.obj、t1_clnt.obj、kssl.obj、d1_both.obj、bio_ssl.obj 等等...

但是,当尝试从浏览器 IE6 sp3(其中从高级选项卡选项中配置的唯一协议是 sslv3)打开与服务器的连接时,与服务器的连接是使用 sslv3 完成的,尽管服务器应该禁用 sslv3 .

openssl sslv3 是否禁用,需要做不同的事情吗?为了禁用 sslv3,在构建 openssl 之前我需要执行哪些操作?

0 投票
0 回答
295 浏览

google-chrome - 尽管我更新了 httpd-ssl.conf,但 Google Chrome 39 仍然拒绝我的 SSL 网站

这是我的环境:服务器 RHEL 6.3、Apache 2.2.15、Tomcat 6、OpenSSL 1.0.0-fips

为了消除 Google Chrome 39 中的 Poodle 漏洞,几天以来我一直在尝试在我的配置文件中阻止 SSL 2 和 SSL 3,但我的服务器仍然存在漏洞并接受 SSL V3。

我到目前为止所做的:

  1. SSLProtocol All -SSLv2 -SSLv3在 httpd-ssl.conf 中添加指令
  2. 使用“apachectl configtest”检查文件的语法</li>
  3. 重启阿帕奇

谷歌浏览器仍然显示消息

ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION

由于我有另一个名为 httpd-vhosts.conf 的配置文件,其中定义了指向 Tomacat 的虚拟主机,因此当我尝试SSLProtocol All -SSLv2 -SSLv3在 block 中添加相同的指令时,我收到了消息

ERR_SSL_VERSION_OR_CIPHER_MISMATCH

在 Google Chrome 和 Internet Explorer 中,Opera 和 FireFox 根本没有更多的工作。

有什么我应该检查或更改的吗?我的头发几乎没有了……</p>

0 投票
0 回答
801 浏览

ssl - 在 Windows Server 2008 中启用 TLS 1.0

我们的生产服务器在 Windows Server 2008 上运行,当前启用了 SSL 2.0。我们正在寻求迁移到 TLS 1.0 协议,我们确实在网上找到了一些帮助,例如如何在注册表中禁用 SSL 和启用 TLS 1.0。我们在 IIS 中配置了各种 LIVE 应用程序,我们希望根据每个应用程序测试此迁移。我假设在注册表中启用 TLS 会影响应用程序池中的所有应用程序。我的问题是,有没有办法为单个应用程序禁用 SSL 并启用 TLS,对其进行测试,然后将其传播到所有应用程序?

0 投票
2 回答
1450 浏览

php - 我的 Apache 2.4.9 (Win32?) 上是否禁用了 SSLv3

我在 Windows Server 2008 R2 上运行 Apache 2.4.9。

我需要立即禁用 SSLv3 以防止Poodle 攻击。为此,我打开了文件\conf\extra\httpd-ssl.conf

然后我在其中添加了以下代码行

保存更改后,我重新启动了 Apache。

回来后,我查看了输出,phpinfo()但仍然可以看到以下内容

SSL_PROTOCOL TLSv1.2 注册流套接字传输 tcp、udp、ssl、sslv3、sslv2、tls

我在phpinfo()哪里检查 SSLv3 和 SSLv2 是否被禁用?

以下是我为确保正确执行此操作而采取的更多方法。我尝试添加这一行而不是其他命令(即。 SSLProtocol All -SSLv2 -SSLv3

我什至尝试在 Apache24 目录中搜索包含单词“SSLProtocol”的任何文件,如下所示

这只找到2个文件

  1. httpd-ssl.conf
  2. 更改.txt

如何检查我的服务器上是否禁用了 SSLv3?如果尚未禁用,如何正确禁用它?

0 投票
1 回答
443 浏览

openssl - POODLE SSLv3 漏洞仍然测试失败

我在 Linux Plesk 12.0 服务器上运行我的网站。我已经阅读了几篇关于通过禁用 SSLv3 来修复 POODLE 漏洞的文章,并且我已按照以下文章中的所有说明在我的服务器上禁用它。

http://kb.sp.parallels.com/en/123160

问题是当我这样做时,我运行了文章中指定的测试,它说我禁用了 SSLv3。但是,当我对其中一个在线测试进行测试时,它失败了——我一直在https://www.ssllabs.com/ssltest/网站上对其进行测试。

有没有人知道为什么我所做的任何改变都没有产生影响以及为什么我仍然很脆弱?

注意:我还请了一家安全公司对此进行了调查,他们说我的一堆密码仍然容易受到攻击,这可能是原因。如果是这样,有人知道如何关闭它们吗?见下文:

非常感谢!

0 投票
1 回答
372 浏览

clojure - 如何为 Ring 应用程序的嵌入式 Jetty 服务器禁用 SSLv3?

这个问题的 Java 版本的答案 - How to disable the SSLv3 protocol in Jetty to prevent Poodle Attack - 涵盖了如何做到这一点,但是对于使用 Ring 和 Ring Jetty 的 Clojure Web 应用程序执行相同操作的等效最小代码是什么适配器,它使用嵌入式 Jetty 版本 7?