SSL(v3)爆出漏洞,攻击者可利用漏洞获取明文内容.

以下摘自:http://zone.wooyun.org/content/15806

SSL v3爆出漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容。

SSL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。

为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。

攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。

解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。

建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。

它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。

该漏洞的分析细节见:【注,这属于中间人攻击的一种】

https://www.imperialviolet.org/2014/10/14/poodle.html

禁用方法:参见tombkeeper@微博

对 IE 来说,可以比较简单地改一下配置禁用 SSLv3。也可以通过修改注册表在整个 Windows 上禁用 SSLv3——这不光对 IE 有效,对其它使用 Windows 加密库的软件也有效,但对自带加密库的软件就不行了。

sslv3-jinyong

 

最近的0day多发,安全的小伙伴们小心脏快受不了了T_T,除了上面这个,还有一个和office有关的,具体就不细说了。



发表评论

电子邮件地址不会被公开。 必填项已用*标注