OpenSSL только что объявил о новой уязвимости в своих подпрограммах памяти. Вы можете прочитать об этом здесь: https://www.openssl.org/news/secadv_20141015.txt
Обходной путь - отключить SSLv3.
Нет, это не нарушит HTTPS-соединение с вашим сайтом; TLSv1 (и более новые версии, если ваше программное обеспечение достаточно новое) уже используется вместо этого почти во всех браузерах (за заметным исключением IE6 в Windows XP).
Убедитесь, что в вашей конфигурации включен TLSv1, но он включен по умолчанию почти в каждой конфигурации SSL на стороне сервера.
Да, вам следует отключить SSLv3. Poodle работает, потому что браузеры будут пытаться использовать старые протоколы, такие как SSLv3, если TLS не работает. MITM может злоупотреблять этим (если только новый TLS SCSV не поддерживается клиентом и сервером, а только Chrome поддерживает atm). Для действительно хорошей записи о деталях атаки Poodle см .: https://security.stackexchange.com/q/70719
SSLv3 взломан несколькими способами, и лучший способ решить эту проблему - отключить его, поскольку 15 лет назад он был заменен TLS. Если вы используете SSLv3 на веб-сайте и вас не волнует IE6 в XP (IE7 в XP подойдет), вы можете безопасно отключить его.
Возможность отключения SSLv3 обсуждается по связанному с этим вопросу: Пудель: Действительно ли отключение SSL V3 на сервере - это решение?
Пока вы занимаетесь этим, вы можете запустить тест на своем сайте, чтобы увидеть, есть ли другие проблемы: https://www.ssllabs.com/ssltest/