10月15日,cnvd收录了ssl v3协议存在的一个可导致信息泄露的高危漏洞(cnvd-2014-06718,对应cve-2014-3566)。攻击者用来发起远程攻击,窃取采用了sslv3加密通信过程中的内容,构成信息泄露安全风险,目前厂商暂时没有提供升级补丁。
一、漏洞情况分析
ssl v3是一项传输层安全协议,主要用于网站、邮件服务器等相关应用服务的网络安全传输。近日,ssl v3协议被披露存在安全漏洞,攻击者可以利用此漏洞发起中间人欺骗攻击,当通信两端的用户主机均使用ssl v3进行安全传输时,可发起攻击窃取敏感信息。ssl v3协议最早启用于1996年,目前已被tls 1.0,tls 1.1,tls 1.2等高级协议代替,同时由于兼容性原因,大多数的tls协议实现兼容ssl v3。用户浏览器在与服务器端的tls握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商,即降级协商。根据分析,受漏洞影响的除了ssl v3本身外,还包括采用tls 1.0和tls 1.2等协议组件的客户端产品。cnvd对该漏洞的综合评级为“高危”。
漏洞存在于ssl v3的cbc块加密漏洞,攻击者可成功破解ssl连接的加密信息。进一步分析表明,攻击者很有可能会通过控制客户端和服务器之间的数据通信,使受影响版本浏览器与服务器端使用较新协议的协商建立失败,从而导致直接应用ssl v3的降级通信协商,达成攻击条件。
二、漏洞处置建议
1、软件生产厂商暂时没有提供升级补丁,同时请广大用户及时关注厂商凯发app官网及时下载更新。
2、建议用户先检测使用软件是否支持sslv3协议,并配置服务器暂时不支持sslv3协议,具体如下所示:
1)sslv3协议检测工具如下:
在线检测页面:
2)用户可自配置服务器主机暂时不支持sslv3协议,可以参见如下链接进行配置:
同时,终端用户可配置浏览器停用sslv3协议,具体可以参见如下链接:
注:cnvd成员单位绿盟科技、安天实验室即分中心提供了漏洞分析文档及部分研判支持。
参考链接:
1. https://www.openssl.org/~bodo/ssl-poodle.pdf
2.