Důležité varování ohledně zranitelnosti v zabezpečení zahrnujícím SSL v3 (tzv. POODLE)

30. 10. 2014

V polovině října 2014 byla odhalena bezpečnostní rizika zabezpečení zahrnující SSL v3 s názvem POODLE (CVE-2014-3566). Tato chyba nepředstavuje velké riziko, neboť se předpokládá, že SSL v3 je používáno méně než dvěma procenty uživatelů internetu (například u starých prohlížečů, jako je Internet Explorer 6, který již není ve většině produktů Esri podporován, ani nepodporuje protokol TLS).

Následující seznam definuje opatření pro jednotlivé produkty:

  • ArcGIS Online:
    Esri zakázala použití SSL v3 pro všechny webové služby ArcGIS Online. Produkt tedy není chybou POODLE ohrožen.

  • ArcGIS for Server a Portal for ArcGIS:
    Aktuální verze těchto produktů pracují s požadavky HTTPS, které mohou za určitých předpokladů použít i SSL v3. Při nasazení produktů ArcGIS for Server, respektive Portal for ArcGIS, proto doporučujeme instalovat také aplikaci Web Adaptor a zakázat SSL v3 na úrovni webového serveru. Postup se liší podle druhu webového serveru.

Esri zakázala použití SSL v3 také pro připravovanou verzi 10.3. Všechny prohlížeče verzí podporovaných pro práci s platformou ArcGIS TLS podporují, a toto bezpečnostní riziko se jich tedy netýká. Všechny verze jazyku Python použité pro platformu ArcGIS od verze 10.0 podporují TLS a většina skriptů by tedy měla i nadále fungovat bez problémů.

Další informace můžete nalézt na samostatné stránce: Vulnerability Summary for CVE-2014-3566.
Informace o zranitelnosti POODLE jsou zde.