SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
简介：
SSL3.0是已过时且不安全的协议，目前已被TLS 1.0，TLS 1.1，TLS 1.2替代，因为兼容性原因，大多数的TLS实现依然兼容SSL3.0。

为了通用性的考虑，目前多数浏览器版本都支持SSL3.0，TLS协议的握手阶段包含了版本协商步骤，一般来说，客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时，首先提供其所支持协议的最新版本，若该握手失败，则尝试以较旧的协议版本协商。能够实施中间人攻击的攻击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败，可以成功实现降级攻击，从而使得客户端与服务器端使用不安全的SSL3.0进行通信，此时，由于SSL 3.0使用的CBC块加密的实现存在漏洞，攻击者可以成功破解SSL连接的加密信息，比如获取用户cookie数据。这种攻击被称为POODL攻击(Padding Oracle On Downgraded Legacy Encryption)。

修复POODLE（CVE-2014-3566）：
最简单的和最好的办法是防止POODLE，从服务器端禁用SSLv3的支持。
Apache用户：
编辑您的Apache配置文件/etc/httpd/conf.d/ssl.conf，更新下列值如下所示。Apache的用户进行更改后需要重新启动Apache服务。

SSLProtocol all -SSLv3 -SSLv2

NGINX用户：
所有NGINX用户编辑nginx的配置文件/etc/nginx/nginx.conf ，更新如下以下值。更新设置后重启nginx服务。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

server {
listen       80;

location /   {
root    /web/pub/xxx/;
ssi      on;
index    index.htm index.html index.shtml;
        }

server_name  www.huangbaokang.cn;

        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_session_cache    shared:SSL:10m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

error_log    /u01/apps/nginx/logs/www.huangbaokang.cn-error.log;
access_log   /u01/apps/nginx/logs/www.huangbaokang.cn-access.log;
    }