漏洞描述

欢乐彩票  Google美国时间10月14日披露了一个存在于SSL3.0版本当中的安全隐患SSL3.0 POODLE,和此前的BEAST攻击类似,允许黑客使用特殊的手段,从SSL3.0的安全通道内获取一定字节长度的隐私信息。

欢乐彩票  SSL3.0已经存在15年之久,目前绝大多数浏览器都支持该版本。当用户的浏览器使用更新版本的安全协议与服务器进行连接,如果遇到bug导致连接失败,会转而尝试更老版本的安全协议进行连接,「更老版本」就包括有SSL3.0。也即意味着,黑客完全有能力在攻击一个服务器故意制造连接失败的情况,触发浏览器的机制使用SSL3.0,并且从中获取用户/服务器端的关键信息。该攻击需要攻击者能控制客户端发送的HTTP请求路径的长度发起多次请求,并能截取通信流量才能完成。


漏洞相关信息:

SSL3.0 POODLE漏洞

涉及产品

信安世纪NSAE应用安全网关、NetGate SSL VPN等产品均包含SSL3.0协议,默认配置下该协议允许使用。

处置建议

该漏洞是SSL3.0协议存在的安全隐患,因此SSL通信产品应停止使用SSL3.0协议,以TLS1.0以上协议代替。

欢乐彩票   信安世纪NSAE应用安全网关、NetGate SSL VPN等产品均包含SSL3.0协议,默认配置下该协议允许使用。该协议可配置为停用。请各NSAE用户及NetGate用户检查所使用的SSL协议并确认SSL3.0协议配置为停用。

   在早期的浏览器版本(IE6)上没有TLS1.0及以后版本的支持或默认没有打开,而仅有SSL3.0协议,因此停用SSL3.0协议支持会对仍然使用早期浏览器版本的客户端造成影响,请用户注意评估。

   参考资料:

欢乐彩票  (1)https://www.imperialviolet.org/2014/10/14/poodle.html

  (2)https://www.openssl.org/~bodo/ssl-poodle.pdf

  (3)乌云:http://drops.wooyun.org/papers/3194


联系方式

电话:800-810-8890

欢乐彩票微信公众号:infosectech

光大彩票-官网 光大彩票-官网 欢乐彩票-官网 光大彩票-官网 欢乐彩票-官网 通博彩票新濠彩票吉利彩票

地址 北京市西城区宣武门外大街甲1号环球财讯中心C座四层

4006705518

X

北京信安世纪科技股份有限公司·页面版权所有:(C) 2017 Copyright@2013 京ICP备16060718号

光大彩票-官网 光大彩票-官网 欢乐彩票-官网 光大彩票-官网 欢乐彩票-官网 通博彩票新濠彩票吉利彩票