SSL3.0POODLE攻击信息泄露漏洞(CVE-2014-3566)
详细描述SSL3.0是已过时且不安全的协议,⽬前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,⼤多数的TLS实现依然兼容SSL3.0。
为了通⽤性的考虑,⽬前多数浏览器版本都⽀持SSL3.0,TLS协议的握⼿阶段包含了版本协商步骤,⼀般来说,客户端和服务器端的最新的协议版本将会被使⽤。其在与服务器端的握⼿阶段进⾏版本协商的时候,⾸先提供其所⽀持协议的最新版本,若该握⼿失败,则尝试以较旧的协议版本协商。能够实施中间⼈攻击的攻击者通过使受影响版本浏览器与服务器端使⽤较新协议的协商的连接失败,可以成功实现降级攻击,从⽽使得客户端与服务器端使⽤不安全的SSL3.0进⾏通信,此时,由于SSL 3.0使⽤的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,⽐如获取⽤户cookie数据。这种攻击被称为POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。
此漏洞影响绝⼤多数SSL服务器和客户端,影响范围⼴泛。但攻击者如要利⽤成功,需要能够控制客户端和服务器之间的数据(执⾏中间⼈攻击)。
解决办法临时解决⽅法:
SSL
-
-------
如果不能及时安装补丁,建议采⽤如下防护措施:
* 禁⽤SSL 3.0协议。
⽬前常⽤浏览器只有IE 6.0仍然不⽀持TLS 1.0,禁⽤SSL 3.0协议将影响IE 6客户的
SSL访问。
服务端禁⽤⽅法:
cve漏洞库Apache 2.x:
在mod_ssl配置⽂件中使⽤如下命令禁⽤SSLv2和SSLv3:
SSLProtocol All -SSLv2 -SSLv3
重启Apache
Nginx:
在配置⽂件中使⽤:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
重启Nginx
lighttpd:
确认lighttpd为1.4.29及以上版本
在配置⽂件中使⽤
ssl.use-sslv3 = "disable"
重启lighttpd
tomcat参考:
/tomcat-6.0-doc/ssl-howto.html
/tomcat-7.0-doc/ssl-howto.html
IIS:
查如下注册表项:
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders \SCHANNEL\Protocols
该注册表项通常包含以下⼦项:
* PCT 1.0
* SSL 2.0
* SSL 3.0
* TLS 1.0
每个注册表项都保留适⽤于该项的协议相关信息。可以在服务器上禁⽤这些协议中的任⼀种。为此,
请在协议SSL 3.0的服务器⼦项中创建⼀个新的DWORD值。名称为Enabled,将DWORD值设置为“00 00 00 00”。重启IIS服务
浏览器禁⽤⽅法:
IE:
"⼯具" -> "Internet 选项" -> "⾼级" ,取消"使⽤ SSL 3.0"的复选框。
Chrome:
复制⼀个平时打开 Chrome 浏览器的快捷⽅式,在新的快捷⽅式上右键点击,进⼊属性,
在"⽬标"后⾯的空格中字段的末尾输⼊以下命令 --ssl-version-min=tls1
FireFox:
在地址栏输⼊"about:config",然后将 security.tls.version.min 调⾄ 1。
威胁分值  4.3
危险插件否
发现⽇期2014-10-14
CVE编号
NSFOCUS
CNNVD编号
CNCVE编号CNCVE-20143566
CVSS评分  4.3
CNVD编号

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。