O SSL versão 3 não é mais seguro. Recentemente, uma nova vulnerabilidade no protocolo SSL v3 chamada 'Ataque de Poodle' foi descoberta pelo pessoal do Google. No Couchbase, como levamos a segurança de nossos produtos a sério, queremos que você esteja ciente do risco representado pela vulnerabilidade e das medidas que deve tomar.
Do que se trata esse bug?
O ataque de poodle é um problema no esquema de criptografia CBC no protocolo SSL 3. Embora muitos sistemas agora usem o TLS (o sucessor do SSL), o ataque poodle surge normalmente quando os clientes fazem o downgrade de seu protocolo criptográfico para o SSL 3.0.
Avaliação de impacto para o servidor e os clientes do Couchbase
O gerenciador de cluster do Couchbase é escrito em Erlang. A implementação do SSL em Erlang (usado para replicação XDCR) não implementa o downgrade de versão (o que o torna seguro contra poodle), mas ainda não desabilita o SSL 3. Por esse motivo, o Couchbase 3.0.1 desabilitará o SSLv3 para gerenciamento, visualizações e portas memcached. O código para desativá-lo já está na compilação noturna, mas ainda estamos trabalhando nele e a compilação terá que passar por nossos portões de qualidade antes de ser oficialmente lançada.
Agora é um bom momento para pensar em como você atualizará seus aplicativos de cliente front-end e outros componentes de infraestrutura que ainda dependem do SSL v3. Para clientes libcouchbase (e SDKs que dependem da libcouchbase, como Ruby, PHP e Python), a atualização para libcouchbase 2.4.3 garantirá que somente o protocolo TLSv1 e superior seja usado. O Java 2.0 usa o TLS por padrão ao se comunicar com o servidor, e o cliente .NET GA 2.0 usará o TLS por padrão.
Para nossos produtos móveis, o Couchbase Lite e o Sync Gateway -
-
Couchbase Lite para iOS 1.0.3 já desativou o SSLv3
-
O Sync Gateway desativará o SSL na versão 1.0.3, e
-
Java/Android e C#/.NET desativarão o SSL na versão 1.0.4
Protegendo a pilha
Para proteger toda a sua pilha, aqui estão algumas outras coisas que você também pode querer verificar
Normalmente, as implementações de SSL estão presentes em servidores proxy de terceiros, como Apache, nginx e HAProxy. Se o seu Couchbase Server estiver atrás de um servidor que usa SSL v3, você deverá corrigir os servidores e reiniciar esses serviços. Para obter uma orientação detalhada sobre como lidar com o poodle em diferentes servidores e navegadores, ir para Postagem no blog de Scott Helme.
Se você estiver executando o Couchbase no Amazon EC2, talvez queira dar uma olhada no último aviso de segurança da Amazon aqui.
Precisa de mais informações sobre o inseto poodle?
-
Documento de consultoria de segurança do Google sobre o "ataque Poodle" -
https://www.openssl.org/~bodo/ssl-poodle.pdf -
Algumas perguntas feitas por usuários da comunidade Erlang - http://erlang.org/pipermail/erlang-questions/2014-October/081315.html
Obrigado por seu apoio contínuo e mantenha-se seguro!
