İnternet ve veri güvenliğinde küresel çözüm sağlayıcı Trend Micro, POODLE güvenlik açığına karşı tüm kullanıcıları uyarıyor.
Özellikle internetten alışveriş ve kullanıcı bilgileri ile bağlanılan sitelerde şifrelenmiş güvenli veri iletişimi sağlayan SSL kodlaması üzerinde yeni bir bir güvenlik açığı ortaya çıktı. Yaklaşık 15 senedir kullanılan SSL şifrelemesi web sitesine bağlanan kullanıcılar ile web sitesi arasındaki trafiği şifreliyor. Son dönemde ise siteler genellikle yeni bir sürüm olan TLS şifrelemesini kullanıyorlar. Padding Oracle On Downgraded Legacy Encryption adı verilen bu güvenlik açığında ise eğer iki taraftan bir tanesi yeni sürüm olan TLS’yi desteklemezse ortaya çıkıyor. İki nokta arasındaki trafik eski sürüm olan SSL 3.0 üzerinden şifreleniyor. Bu sayede kötü niyetli kişiler güvenlik açığı bulunan eski sürüm üzerinden iki nokta arasındaki bağlantıyı izleyebiliyorlar.
Bu sorunun temeli güvenlik protokolündeki bir tasarım hatasına dayanıyor. Sorunu engellemek için en kesin çözüm SSL 3.0 protokolünü devre dışı bırakmak.
Son kullanıcılar için çözümler:
Chorme web tarayıcısı kullananlar: Tarayıcıyı “–ssl-version-min=tls1” komutuyla birlikte çalıştırdıklarında yeni sürüm olan TLS protolünün dışında bir şifreleme protokolünün kullanılmasını engelleyebilirler.
Firefox kullanıcıları: Arama çubuğuna “about:config” yazıp ayarlara girerek “security.tls.version.min” değerinin karşısına 1 yazdıklarında SSL 3.0 protokolünün kullanılmasını engelleyebilirler.
Internet Explorer kullanıcıları: Security Advisory 3009008’daki basamakları izleyerek SSL 3.0 protokolünü durdurabilirler.
Kurumlar için çözümler:
• Sunucuların korunması için IIS 7 üzerindeki SSL 2.0 ve SSL 3.0 protokollerini bu bağlantı üzerinden kapatabilirisiniz.
• Apache httpd + mod_ssl i korumak için: SSLProtocol All -SSLv2 –SSLv3
• nginx ‘i korumak için: ssl_protocols TLSv1 TLSv1.1 TLSv1.2
Bazı web sitelerinin hala SSL 3.0 protokolü kullanmasından dolayı bu protkolü durdurmak bazı eski web sitelerine girişte sorunlar yaratabiliyor. Trend Micro web sitesi yöneticilerine yaptığı tavsiyede SSL 3.0 protokolünün kullanılmasına izin veren TLS_FALLBACK_SCSV mekanizmasının sadece gerekli olduğu durumlarda kullanılmasını öneriyor.