15 Ekim 2014 Çarşamba

SSLv3 Poodle Attack Vulnerability

Bu senede bayağı zaayifet yaptı ha. Neyse son çıkan zaafiyet SSL/TLS'in kriptografik implementasyonu sırasında meydana gelen bir zaafiyet. Son çıkan zaafiyetlere şekilli şükullu isim koymak da moda olduğu için bunada Poodle (cix köpek) koydular. Poodle'ı Padding Oracle On Downgraded Legacy Encryption baş harflerinden esinlendik diyolla.
Browser kaynaklı olduğu için internet tarayıcınızdaki SSLv3'ü devre dışı bırakarak sorunu halledebilirsiniz.

Browser'ınızda zaafiyet olup olmadığını test etmek için şu adresten kontrol edebilirsiniz. Eğer zaafiyete sahipseniz resimdeki gibi bir ekran çıkacak karşınıza.


ÇÖZÜM



Mozilla Firefox

     Browser'ınızdan adres satırına about:config yazarak konfigürasyon sayfasını açıyoruz


Gibi bir uyarı sayfası çıkacak bunu geçiyoruz. Kendilerince ayar vermeye çalışıyorlar len keranacılar neyin garantisi open source değil misiniz kaç yıl garanti verdiniz ki ürünü download edince heamına. Neyse konuya dönelim. Butona tıkladıktan sonra ayarlama ekranı çıkacak karşımıza, amelece değiştireceğimiz ayar kısmını aramayalım diye abile dinamik bir arama kutusu koymuşlar. Buradan security.tls.version.min değerini buluyoruz. Default olarak 0 olan bu değeri 1'e set ediyoruz. Bu kadar değişikliğin uygulanabilmesi için browser'ı restart etmemiz gerekiyor -kapatıp açın browser'ı ;)-.

     Tekrardan https://www.poodletest.com/ adresini ziyaret ettiğimizde küçük itin düzeldiğini göreceğiz.



Google Chrome

     Chrome için olan çözümde ise browser'a girmek için eriştiğiniz kısayolu kopyalayın, ardından Sağ tık -> Özellikler. Hedef (Target) kısmında kısayolumuzun çalışmak için uğradığı yol yazılı. Buranın sonuna --ssl-version-min=tls1 parametresini ekliyoruz. Ve bingo;



Internet Explorer



Bu devirde IE kullanan  mı varmış/kalmış. Var sen bul onun çözümünü iki gugıllayarak.

Yazıyı yazdıktan iki gün sonra site Vulnerable durumu için olan resmi değiştirmiş.



Hiç yorum yok:

Yorum Gönder