Padding Oracle On Downgraded Legacy Encryption (POODLE) được phát hành với tên CVE của CVE-2014-3566. Lỗ hổng được tìm thấy trong giao thức SSL 3.0, không giống như Heartbleed đã được tìm thấy trong OpenSSL. Giao thức SSL 3.0 sử dụng các thuật toán mã hóa CBC-mode. Các cuộc tấn công man-in-the-middle nhắm mục tiêu vào các thuật toán mật mã CBC để lấy ra plain-text từ các thông tin khác được mã hóa. Để giải quyết vấn đề này, chúng ta phải vô hiệu hóa SSLv3 cho các ứng dụng. Thật không may, không có cách nào để làm điều này cho toàn bộ một máy chủ cùng một lúc. Bạn sẽ cần phải chỉnh sửa từng cấu hình cá nhân riêng biệt. Tác động của Vô hiệu hóa SSLv3 Có rất ít tác động đối với hầu hết mọi người trong việc vô hiệu hóa SSLv3 vì họ không dựa vào SSLv3 để tạo ra các kết nối thông qua SSL/TLS. Phần lớn đều dựa trên TLS. Trong tương lai, các trình duyệt như Google Chrome và FireFox sẽ vô hiệu hóa SSLv3 khi phát hành. Nó cũng khuyến khích để vô hiệu hóa SSLv3 trên các trình duyệt khác, không chỉ các ứng dụng máy chủ. Thử nghiệm cho SSLv3 Có một số cách để xác định nếu một dịch vụ chạy trên SSL sẽ cho phép SSLv3. Một phương pháp đơn giản là sử dụng dòng lệnh. Chạy lệnh: Mã: openssl s_client -connect example.com:443 -ssl3 Nhớ thay example.com với tên miền của bạn hoặc địa chỉ IP, và 443 với bất kỳ cổng thay thế mà bạn có thể sử dụng cho kết nối SSL của bạn. Kiểm tra đầu ra cho các văn bản: Mã: routines:SSL3_READ_BYTES:sslv3 alert handshake failure Nếu bạn thấy điều này, dịch vụ mà bạn đã thử nghiệm không hỗ trợ SSLv3. Nó sẽ an toàn từ các lỗ hổng. Vô hiệu hóa SSLv3 Thật không may, không có cách nào đơn giản để làm việc này. Không có bản vá để cài đặt, và cách duy nhất để giải quyết điều này là vô hiệu hóa SSLv3 trong bất kỳ ứng dụng có thể sử dụng nó. Lỗ hổng Poodle chỉ hoạt động nếu trình duyệt của khách hàng và kết nối của máy chủ đều hỗ trợ SSLv3. Vì vậy, bằng cách tắt SSLv3 trên hệ thống của bạn, bạn cũng sẽ bảo vệ khách hàng của bạn từ các lỗ hổng. Apache Nếu bạn đang chạy một máy chủ web Apache mà hiện tại cho phép SSLv3, bạn sẽ cần phải chỉnh sửa cấu hình Apache. Trên hệ thống Debian và Ubuntu tập tin là /etc/apache2/mods-available/ssl.conf. Trên CentOS và Fedora tập tin là /etc/httpd/conf.d/ssl.conf. Bạn sẽ cần phải thêm dòng sau đây để cấu hình Apache của bạn với chỉ số SSL khác. Mã: SSLProtocol All -SSLv2 -SSLv3 Điều này sẽ cho phép tất cả các giao thức ngoại trừ SSLv2 và SSLv3. Bạn có thể kiểm tra sự thay đổi cấu hình của bạn bằng lệnh: Mã: apachectl configtest Sau đó bạn sẽ cần phải khởi động lại Apache của bạn. Trên Ubuntu và Debian: Mã: service apache2 restart Trên CentOS và Fedora: Mã: systemctl restart httpd Để biết thêm thông tin về cấu hình Apache vô hiệu hoá SSLv2 và SSLv3, vui lòng xem tài liệu mod_ssl của họ Apache trên cPanel/WHM cPanel/WHM không cho phép bạn chỉnh sửa các tập tin cấu hình Apache, và sẽ ghi đè lên hầu hết các thay đổi. Tuy nhiên, cPanel/WHM cung cấp tùy chọn cấu hình bộ mã hoá SSL cho Apache trong bảng điều khiển. Để thay đổi các bộ mã hóa SSL cho Apache, hãy làm theo các bước sau: Trong WHM, gõ apache vào ô tìm kiếm. Bạn sẽ thấy Apache Configuration trong danh sách menu. Sau khi nhấp Apache Configuration, điều hướng đến Global Configuration. Đây là tùy chọn đầu tiên trong cPanel 11.44+. Tùy chọn đầu tiên là SSL Cipher Suite, và bạn sẽ cần phải sửa đổi SSL Cipher Suite hiện tại để bao gồm thêm -SSLv3. Một ví dụ về điều này được hiển thị dưới đây. Mã: ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH Sau khi lưu trang, bạn sẽ được yêu cầu rebuild và khởi động lại Apache. Các thay đổi sẽ có hiệu lực sau khi Apache được rebuild và khởi động lại. Nginx Nếu bạn đang chạy một máy chủ web Nginx rằng hiện đang sử dụng SSLv3, bạn cần phải chỉnh sửa cấu hình nginx (nginx.conf). Bạn sẽ cần phải thêm dòng sau đây đến chỉ thị server của bạn: Mã: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; Điều này sẽ bỏ kích hoạt SSLv3 đang được sử dụng trên Nginx. Nếu bạn không thể tìm thấy các chỉ thị server trong nginx.conf, bạn có thể cần phải xác định vị trí tập tin cấu hình VirtualHost của bạn. Bạn cũng sẽ cần phải khởi động lại máy chủ Nginx của bạn: Mã: service nginx restart Để biết thêm thông tin về cài đặt giao thức SSL của Nginx, xin xem tài liệu module NGX HTTP SSL. Hiawatha Nếu bạn đang sử dụng các máy chủ web Hiawatha phiên bản mới, thì có thể SSLv3 đã được tắt theo mặc định. Nhưng nếu vì một lý do bạn đang chạy một phiên bản cũ mà cho phép SSLv3, bạn có thể sử dụng các thiết lập MinSSLversion trong hiawatha.conf: Mã: MinSSLversion = TLS1.0 # or TLS1.1 or TLS1.2 Sau đó khởi động lại Hiawatha. Ví dụ, trong Debian hoặc Ubuntu: Mã: service hiawatha restart Để biết thêm thông tin về các thiết lập cấu hình Hiawatha, xem trang hướng dẫn. Postfix SMTP Nếu bạn đang chạy Postfix trong chế độ mandatory SSL, bạn sẽ cần phải điều chỉnh cấu hình của bạn trong tập tin /etc/postfix/main.cf: Mã: smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3 Điều này sẽ buộc Postfix SMTP không sử dụng SSLv3 hoặc SSLv2. Bạn cũng sẽ cần phải khởi động lại Postfix: Mã: service postfix restart Để biết thêm thông tin về cài đặt smtpd_tls_mandatory_protocols Postfix, xin vui lòng xem tài liệu ở đây. Dovecot Điều này sẽ chỉ làm việc trong phiên bản 2.1 và các phiên bản trên 2.1. Thêm dòng sau vào /etc/dovecot/local.conf hoặc một tập tin mới trong /etc/dovecot/conf.d/10-ssl.conf: Mã: ssl_protocols =! SSLv2! SSLv3 Sau đó khởi động lại Dovecot: Mã: service dovecot restart Nếu bạn đang chạy một phiên bản của Dovecot trước 2.1, bạn sẽ cần phải chỉnh sửa mã nguồn của Dovecot. HAProxy Để vô hiệu hóa SSLv3 trong HAProxy, bạn phải sử dụng HAProxy 1.5+, SSL không được hỗ trợ trong các phiên bản trước đó của HAProxy. Chỉnh sửa tập tin /etc/haproxy.cfg như sau: Mã: bind :443 ssl crt <crt> ciphers <ciphers> no-sslv3 Bạn có thể tìm hiểu thêm về no-SSLv3 của HAProxy trong HAProxy Configuration Manual của họ OpenVPN Theo một diễn đàn được đăng trên OpenVPN, OpenVPN đã thông báo rằng, bởi vì họ sử dụng TLSv1.0, nền tảng của họ không bị ảnh hưởng bởi POODLE