POODLE on CentOS

POODLE（意即 Padding Oracle On Downgraded Legacy Encryption）攻擊是一種趁瀏覽器降級至 SSL 3.0 而進行的中間人攻擊。假若攻擊者能成功利用此漏洞，他們平均只需 256 個 SSL 3.0 請求便能看穿加密信息內的 1 個字元。此攻擊是由谷歌安全小組的 Bodo Möller、Thai Duong 及 Krzysztof Kotowicz 所發現的。此攻擊的嚴重性被視為不及 Heartbleed 或 Shellshock。

有關 POODLE 的更詳盡解釋請參閱此文章。

1. 受影響的 CentOS 版本

POODLE 影響所有 CentOS 版本，但只有現行版本的 CentOS 才會獲緩解。這些版本包括 CentOS-5.11（或其後版本）、CentOS-6.5（或其後版本）、CentOS-7.0.1406（或其後版本）。其它版本的 CentOS 不會獲修正。

請注意這裡所列出的更新不是真的修正 POODLE，它們只是利用 TLS_FALLBACK_SCSV 選項防止降級至 SSLv3。用戶必須人手修改 CentOS-5、CentOS-6 及 CentOS-7 上的 SSL 協議設定，並安裝下列更新才能緩解 POODLE 及其它 SSL 降級問題。

1.1. CentOS-5.11

openssl-0.9.8e-31.el5_11.<架構>.rpm

1.2. CentOS-6.6

openssl-1.0.1e-30.el6_6.2.<架構>.rpm

1.3. CentOS-7.0.1406

openssl-1.0.1e-34.el7_0.6.<架構>.rpm

2. CentOS Linux 上的緩解方案

第一步是安裝更新，你可採用以下指令：

yum update

完成後，請利用下列指令確定你的套件版，就你的 CentOS 版本而言，不少於上述版本：

rpm -q openssl

要是你擁有上述版本（或較新版本），你所安裝的 openssl 版本已經夠新。

2.1. 更改設定

Red Hat 有篇文章討論 POODLE 及緩解方案。Tomcat、Firefox、httpd, vsftpd 及其它元件所需要的改動已包含在該文章內。

https://disablessl3.com 收錄了更詳盡的程式及選項清單，請參閱。

3. 驗證改動

當你已完成所有改動後，你可運用 Qualys SSL Labs 來驗證你的網頁伺服器已堵塞 POODLE 及 TLS_FALLBACK_SCSV 的漏洞。你也可考慮在 CentOS-6.6（或以上）及 CentOS-7 的 httpd 採用 TLSv1.2，或在 CentOS-5 採用 TLSv1。

Translation of revision 7