วิธีปิดการให้บริการ SSLv3 บน Apache เพื่อป้องกันการโจมตีจากช่องโหว่ “POODLE Attack” (Padding Oracle On Downgrade Legacy Encryption) บท CentOS (CVE-20140-3566)

วิธีปิดการให้บริการ SSLv3 บน Apache เพื่อป้องกันการโจมตีจากช่องโหว่ “POODLE Attack”  (Padding Oracle On Downgrade Legacy Encryption)  บท CentOS (CVE-20140-3566)

ที่ผ่านมาเราจะเคยได้ยินข่าว เกียวกับช่องโหว่ของ SSLv3 ซึ่งเป็น Protocol ที่ออกมาตั้งแต่ปี 1996 (เก่ามากๆ)  และเป็นช่องโหว่ที่ถือว่าร้ายแรงเหมือนกัน มีผลทำให้สามารถถอดรหัสข้อมูลระหว่าง Client – Server ได้  ช่องโหว่นี้ถูกตั่งชื่อว่า “POODLE”  หรือ “Padding Oracle On Downgraded Legacy Encryption” หรือ CVE-20140-3566 พอดีเมือวานผม update server ใหม่ ให้รองรับ version SSL/HTTPS เลยได้ทำการ scan ทดสอบดูพบว่า ในค่า Default ของ Apache มันยังคง

Share Button