关于SSL V3 Protocol存在高危漏洞处理措施
10月15日披露SSL V3协议存在的一个可导致信息泄露的高危漏洞(CNVD-2014-06718,对应CVE-2014-3566)。攻击者用来发起远程攻击,窃取采用了sslv3加密通信过程中的内容,构成信息泄露安全风险,目前厂商暂时没有提供升级补丁。
1.漏洞情况分析
SSL V3是一项传输层安全协议,主要用于网站、邮件服务器等相关应用服务的网络安全传输。近日,SSL V3协议被披露存在安全漏洞,攻击者可以利用此漏洞发起中间人欺骗攻击,当通信两端的用户主机均使用SSL V3进行安全传输时,可发起攻击窃取敏感信息。SSL V3协议最早启用于1996年,目前已被TLS 1.0,TLS 1.1,TLS 1.2等高级协议代替,同时由于兼容性原因,大多数的TLS协议实现兼容SSL V3。用户浏览器在与服务器端的TLS握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商,即降级协商。根据分析,受漏洞影响的除了SSL V3本身外,还包括采用TLS 1.0和TLS 1.2等协议组件的客户端产品。CNVD对该漏洞的综合评级为“高危”。 
漏洞存在于SSL V3的CBC块加密漏洞,攻击者可成功破解SSL连接的加密信息。进一步分析表明,攻击者很有可能会通过控制客户端和服务器之间的数据通信,使受影响版本浏览器与服务器端使用较新协议的协商建立失败,从而导致直接应用SSL V3的降级通信协商,达成攻击条件。
2.漏洞处置建议
1、软件生产厂商暂时没有提供升级补丁,同时请关注集团信息管理部以及厂商一旦发布补丁,请立即更新。
2、建议用户先检测使用软件是否支持SSLV3协议,并配置服务器暂时不支持sslv3协议,具体如下所示。
3.紧急处理方式
目前解决该问题可以禁用SSL3.0,或者SSL3.0中使用的CBC模式加密,但是有可能造成兼容性问题。建议支持 TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。 它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止
未来的攻击。
a)windows用户
可以暂时配置浏览器停用SSLV3.0协议,参见具体如下
IE浏览器
1)打开IE浏览器
2)点击浏览器右上角的“工具”选项,选择“Internet选项”
3)选择“高级”
4)到“使用SSL3.0”的设置,将方框里的“勾”去掉
cve漏洞库
5)点击“确定”保存.
Firefox浏览器
Chrome浏览器
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1
b)Mac OS X 用户
1)完全关闭 Chrome 浏览器
2)到本机自带的终端(Terminal)
3)输入以下命令:
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
c)Linux 用户
火狐浏览器
Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
Chrome浏览器
1)编辑/usr/share/applications/google-chrome.desktop文件
2)编辑所有Exec=的行,并在后 面 加入--ssl-version-min=tls1比如:
将Exec=/usr/bin/google-chrome-stable %U修改为:
Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U
3)最后重启您的Chrome浏览器
d)服务器
(1).Apache
(2).Nginx
4.附录
1)sslv3协议检测工具如下:
sourceforge/projects/sslscan/
www.ssllabs/ssltest/analyze.html?d=boc&ignoreMismatch=on
在线检测页面::444/index.html
2)用户可自配置服务器主机暂时不支持sslv3协议,可以参见如下链接进行配置:
www.ssllabs/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf
同时,终端用户可配置浏览器停用SSLV3协议,具体可以参见如下链接:
blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html
注:CNVD成员单位绿盟科技、安天实验室即分中心提供了漏洞分析文档及部分研判支持。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。