<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";
        color:black;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";
        color:black;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:Consolas;
        color:black;}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body bgcolor=white lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>There are three lab machines that need patching. Please see the email below and check on your machine’s IP address.<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>Thanks,<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'>                Matthew<o:p></o:p></span></p><p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D'><o:p> </o:p></span></p><div><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in'><p class=MsoNormal><b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'>From:</span></b><span style='font-size:10.0pt;font-family:"Tahoma","sans-serif";color:windowtext'> Jeff Oakes [mailto:joakes@engineering.ucsb.edu] <br><b>Sent:</b> Friday, November 21, 2014 4:48 PM<br><b>To:</b> mturk@cs.ucsb.edu<br><b>Cc:</b> holl@cs.uscb.edu<br><b>Subject:</b> Fwd: [COE #62572] [UCSB-OIT #640251] Hosts Vulnerable to POODLE Attack<o:p></o:p></span></p></div></div><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Hi All,<br><br>could you please let your students know that the following machines need patching:<br><br>ilab-116.cs.ucsb.edu             128.111.28.116   Vulnerable   This server supports the SSL v3 protocol. <br>ilab-119.cs.ucsb.edu             128.111.28.119   Vulnerable <br>ilab-121.cs.ucsb.edu             128.111.28.121   Vulnerable <br><br>Thanks,<br><br>Jeff<o:p></o:p></p><div><p class=MsoNormal><br><br>-------- Original Message -------- <o:p></o:p></p><table class=MsoNormalTable border=0 cellspacing=0 cellpadding=0><tr><td nowrap valign=top style='padding:0in 0in 0in 0in'><p class=MsoNormal align=right style='text-align:right'><b>Subject: <o:p></o:p></b></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>[COE #62572] [UCSB-OIT #640251] Hosts Vulnerable to POODLE Attack<o:p></o:p></p></td></tr><tr><td nowrap valign=top style='padding:0in 0in 0in 0in'><p class=MsoNormal align=right style='text-align:right'><b>Date: <o:p></o:p></b></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal>Fri, 21 Nov 2014 10:16:07 -0800<o:p></o:p></p></td></tr><tr><td nowrap valign=top style='padding:0in 0in 0in 0in'><p class=MsoNormal align=right style='text-align:right'><b>From: <o:p></o:p></b></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="mailto:security@ucsb.edu">security@ucsb.edu</a> via CoE Support <a href="mailto:help@engineering.ucsb.edu"><help@engineering.ucsb.edu></a><o:p></o:p></p></td></tr><tr><td nowrap valign=top style='padding:0in 0in 0in 0in'><p class=MsoNormal align=right style='text-align:right'><b>Reply-To: <o:p></o:p></b></p></td><td style='padding:0in 0in 0in 0in'><p class=MsoNormal><a href="mailto:help@engineering.ucsb.edu">help@engineering.ucsb.edu</a><o:p></o:p></p></td></tr></table><p class=MsoNormal style='margin-bottom:12.0pt'><o:p> </o:p></p><pre>Fri Nov 21 10:16:06 2014: Request 62572 was acted upon.<o:p></o:p></pre><pre>Transaction: Ticket created by <a href="mailto:security@ucsb.edu">security@ucsb.edu</a><o:p></o:p></pre><pre>       Queue: General<o:p></o:p></pre><pre>     Subject: [UCSB-OIT #640251] Hosts Vulnerable to POODLE Attack<o:p></o:p></pre><pre>       Owner: Nobody<o:p></o:p></pre><pre>  Requestors: <a href="mailto:security@ucsb.edu">security@ucsb.edu</a><o:p></o:p></pre><pre>      Status: new<o:p></o:p></pre><pre> Ticket <URL: <a href="https://rt.engr.ucsb.edu/Ticket/Display.html?id=62572">https://rt.engr.ucsb.edu/Ticket/Display.html?id=62572</a> ><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Greetings,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>It is possible to obtain sensitive information from the following <o:p></o:p></pre><pre>remote hosts with SSL/TLS-enabled services:<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>128.111.28.72<o:p></o:p></pre><pre>128.111.28.86<o:p></o:p></pre><pre>128.111.28.116<o:p></o:p></pre><pre>128.111.28.119<o:p></o:p></pre><pre>128.111.28.121<o:p></o:p></pre><pre>128.111.40.6<o:p></o:p></pre><pre>128.111.40.186<o:p></o:p></pre><pre>128.111.40.190<o:p></o:p></pre><pre>128.111.40.196<o:p></o:p></pre><pre>128.111.40.208<o:p></o:p></pre><pre>128.111.40.209<o:p></o:p></pre><pre>128.111.40.217<o:p></o:p></pre><pre>128.111.40.248<o:p></o:p></pre><pre>128.111.41.12<o:p></o:p></pre><pre>128.111.41.13<o:p></o:p></pre><pre>128.111.41.24<o:p></o:p></pre><pre>128.111.41.40<o:p></o:p></pre><pre>128.111.41.47<o:p></o:p></pre><pre>128.111.41.61<o:p></o:p></pre><pre>128.111.41.97<o:p></o:p></pre><pre>128.111.41.99<o:p></o:p></pre><pre>128.111.41.136<o:p></o:p></pre><pre>128.111.41.241<o:p></o:p></pre><pre>128.111.41.242<o:p></o:p></pre><pre>128.111.41.246<o:p></o:p></pre><pre>128.111.43.247<o:p></o:p></pre><pre>128.111.44.98<o:p></o:p></pre><pre>128.111.44.156<o:p></o:p></pre><pre>128.111.44.173<o:p></o:p></pre><pre>128.111.45.37<o:p></o:p></pre><pre>128.111.46.53<o:p></o:p></pre><pre>128.111.46.81<o:p></o:p></pre><pre>128.111.46.188<o:p></o:p></pre><pre>128.111.46.190<o:p></o:p></pre><pre>128.111.46.227<o:p></o:p></pre><pre>128.111.46.228<o:p></o:p></pre><pre>128.111.46.236<o:p></o:p></pre><pre>128.111.46.243<o:p></o:p></pre><pre>128.111.46.245<o:p></o:p></pre><pre>128.111.48.9<o:p></o:p></pre><pre>128.111.48.141<o:p></o:p></pre><pre>128.111.48.237<o:p></o:p></pre><pre>128.111.52.10<o:p></o:p></pre><pre>128.111.52.72<o:p></o:p></pre><pre>128.111.52.101<o:p></o:p></pre><pre>128.111.52.241<o:p></o:p></pre><pre>128.111.52.242<o:p></o:p></pre><pre>128.111.55.2<o:p></o:p></pre><pre>128.111.55.9<o:p></o:p></pre><pre>128.111.55.19<o:p></o:p></pre><pre>128.111.68.187<o:p></o:p></pre><pre>128.111.68.215<o:p></o:p></pre><pre>128.111.68.217<o:p></o:p></pre><pre>128.111.68.221<o:p></o:p></pre><pre>128.111.179.130<o:p></o:p></pre><pre>128.111.179.143<o:p></o:p></pre><pre>128.111.179.144<o:p></o:p></pre><pre>128.111.179.150<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><pre>Description :<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The remote host is affected by a man-in-the-middle (MitM) information<o:p></o:p></pre><pre>disclosure vulnerability known as POODLE. The vulnerability is due to<o:p></o:p></pre><pre>the way SSL 3.0 handles padding bytes when decrypting messages<o:p></o:p></pre><pre>encrypted using block ciphers in cipher block chaining (CBC) mode. A<o:p></o:p></pre><pre>MitM attacker can decrypt a selected byte of a cipher text in as few<o:p></o:p></pre><pre>as 256 tries if they are able to force a victim application to<o:p></o:p></pre><pre>repeatedly send the same data over newly created SSL 3.0 connections.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>As long as a client and service both support SSLv3, a connection can<o:p></o:p></pre><pre>be "rolled back" to SSLv3, even if TLSv1 or newer is supported by the<o:p></o:p></pre><pre>client and service.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>The TLS Fallback SCSV mechanism prevents "version rollback" attacks<o:p></o:p></pre><pre>without impacting legacy clients however, it can only protect<o:p></o:p></pre><pre>connections when the client and service support the mechanism. Sites<o:p></o:p></pre><pre>that cannot disable SSLv3 immediately should enable this mechanism.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>This is a vulnerability in the SSLv3 specification, not in any<o:p></o:p></pre><pre>particular SSL implementation. Disabling SSLv3 is the only way to<o:p></o:p></pre><pre>completely mitigate the vulnerability.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>See also :<o:p></o:p></pre><pre><o:p> </o:p></pre><pre><a href="https://www.imperialviolet.org/2014/10/14/poodle.html">https://www.imperialviolet.org/2014/10/14/poodle.html</a><o:p></o:p></pre><pre><a href="https://www.openssl.org/~bodo/ssl-poodle.pdf">https://www.openssl.org/~bodo/ssl-poodle.pdf</a><o:p></o:p></pre><pre><a href="https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00">https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Solution :<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Disable SSLv3.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Services that must support SSLv3 should enable the TLS Fallback SCSV<o:p></o:p></pre><pre>mechanism until SSLv3 can be disabled.<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>Thank you,<o:p></o:p></pre><pre><o:p> </o:p></pre><pre>--<o:p></o:p></pre><pre>E. Todd Atkins<o:p></o:p></pre><pre>Network Security Coordinator, Infrastructure<o:p></o:p></pre><pre>Enterprise Technology Services<o:p></o:p></pre><pre>University of California, Santa Barbara <o:p></o:p></pre><pre><a href="http://www.ets.ucsb.edu">http://www.ets.ucsb.edu</a><o:p></o:p></pre><pre><o:p> </o:p></pre><pre><o:p> </o:p></pre><p class=MsoNormal><o:p> </o:p></p></div><p class=MsoNormal><o:p> </o:p></p></div></body></html>