CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.

Maxim Dounin mdounin at mdounin.ru
Fri Oct 17 13:24:03 UTC 2014 

Hello!

On Fri, Oct 17, 2014 at 02:34:38PM +0300, Gena Makhomed wrote:

> On 16.10.2014 23:36, Maxim Dounin wrote:
> 
> >>>>>Мысль убрать SSLv3 по умолчанию носится в воздухе,
> >>>>>но я пока не уверен в правильности этого действия.
> >>>>
> >>>>Древней версии IE 6.0 много только в Китае:
> >>>>https://www.modern.ie/en-us/ie6countdown
> >>>
> >>>SSLv3 - это, как показывает практика, не только IE6.  Только в
> >>>рамках нашего маленького офиса уже есть жертвы - у коллеги
> >>>отвалился IRC-клиент в связи с запретом SSLv3 на серверной
> >>>стороне.  При этом более или менее очевидно, что проблемы
> >>>при использовании IRС - нет.
> 
> Разве IRC-клиент подключается к nginx по протоколу http/https?

Это к вопросу о том, что запрет SSLv3 имеет смысл не всегда, и 
может выйти боком в самых неожиданных местах.

[...]

> Может ли nginx определить, что к нему пытаются подключиться по SSLv3,
> и в этом случае обработать запрос клиента в другом server,
> в котором вместо сайта будет инструкция по включению TLSv1
> в настройках клиентского браузера (Internet Explorer 6.0)
> или рекомендация обновить браузер / обновить антивирус ?

Есть переменная $ssl_protocol, по которой можно сделать 
условную обработку, и показать желаемую страницу.  Документация 
доступна по адресу http://nginx.org/r/$ssl_protocol.

[...]

> >Но, если проблема fallback'а таки будет решена, то нет особых
> >причин это делать рано.
> 
> Кроме самых новых версий Firefox/Chrome на руках и пользователей
> остается ведь очень много и других, более старых версий браузеров.
> Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.

Браузер, который не обновляют - это браузер, рассматривать который 
с точки зрения безопасности достаточно бессмысленно, он всё равно 
дыряв, так или иначе.  И хорошо, если в качестве дырки будет 
выступать POODLE, а не remote code execution.

С точки зрения безопасности имеет смысл рассматривать только 
актуальные версии современных браузеров.  И тут уже, судя по 
всему, проблема решена как минимум в Chrome и Opera[1], и скоро 
будет решена в Firefox.  Ждём Safari и IE.

[1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/

-- 
Maxim Dounin
http://nginx.org/

Подробная информация о списке рассылки nginx-ru