Saudações, pessoal.

A dica é para tratarmos desta vulnerabilidade que já tem alguns meses, mas que ainda pode ser encontrada em servidores Apache, HTTPD, nGinx etc.

Não detalharei muito sobre a vulnerabilidade, mas quem quiser conhecer melhor, segue o link:

• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566

Bom, em meu caso, os meus servidores Apache não usavam o SSL, apenas o servidor de ownCloud que sim, pois todos meus servidores se tratavam de servidores sem exposição para a internet.

Sei que o melhor seria mesmo sendo servidores internos, que suas conexões fossem seguras por criptografia SSL, mas isto estarei implementando futuramente. Bom, vamos à dica!

Para saber se o seu servidor utiliza o protocolo SSLv3, utilize o seguinte comando:

# openssl s_client -connect localhost:443 -ssl3

Este comando executa um acesso SSL na porta 443 pelo protocolo SSLv3. Caso o comando seja estabelecida, será mostrado os dados do certificado criado pelo servidor e isso indica que o servidor aceita conexões neste protocolo.

O resultado que queremos ver e que nos protege neste caso seria:

21741:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1108:SSL alert number 40
21741:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:545:

Pode ser usado também o Nmap para verificar se a porta 443 está aberta indicando o uso do SSL:

# nmap -v localhost

Para se proteger em servidores Apache, será necessário editar o seguinte arquivo:

# vim /etc/apache2/mods-available/ssl.conf

• Procure pela linha: SSLProtocol all -SSLv2
• E adicione: -SSLv3

Feito isto, reinicie o Apache:

# /etc/init.d/apache2 restart

Para se proteger em servidores Nginx, será necessário editar o seguinte arquivo:

# vim /etc/nginx/sites-enabled/default

Procure por "server { }", terá dois servers, um para a porta 80 e outro indicando a porta 443. Adicione a linha dentro do server especificando a porta 443:


Isto indica que o protocolo aceito serão os protocolos especificados.

# /etc/init.d/nginx restart

Vale salientar que no meu caso não uso o SSL para comunicação dos servidores ainda, mas já me preveni. E que uma conexão deste tipo só será feita, caso as duas pontas servidores e clientes estejam usando o protocolo na versão SSLv3, ou seja, você se protegendo estará também protegendo o cliente.

Este previne somente os servidores web, mas este protocolo está ativo também no Java, nos navegadores, no Postfix, ou seja, o trabalho é árduo e temos que continuar.

Bibliografia:

• http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
• https://disablessl3.com/