安全社区

黑盾云安全社区,与你一起分享安全领域的知识与智慧

SSLv3漏洞报告

安全研究2014-10-15 17:43:52 1686次围观

1.SSLv3漏洞概述

今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。
对此Google表示,他们只能给出一个无奈的建议:关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。
另外,Google已经明确表态将在接下来的数月中,逐步从其服务中撤销掉SSLv3的支持。
SSL v3爆出漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容。
SL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。服务器方面,有消息称,全球TOP100万的网站,超过99%站点使用了SSLv3。
为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。
攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。 攻击者可利用该漏洞获取安全连接当中的明文内容。
解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。
建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。
它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。
ps: 此漏洞属于中间人攻击,非心脏出血类漏洞)
 

2.检测方法

所有支持SSLV3协议的软件都受这个漏洞影响,可以通过如下的工具来检查是否支持sslv3协议
在线检测页面
客户端:
 https://www.poodletest.com/,举例测试如下:
 


服务端:
https://www.ssllabs.com/ssltest/index.html

3.修复方案:

3.1普通用于可以暂时配置浏览器停用SSLV3协议,参见具体如下

Windows 用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1
Mac OS X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1
Linux 用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
 
Firefox 浏览器用户可以进入 关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
IE用户:
  1. 打开IE浏览器
  2. 点击浏览器右上角的“工具”选项,选择“Internet选项”
  3. 选择“高级”
  4. 找到“使用SSL3.0”的设置,将方框里的“勾”去掉
  5. 点击“确定”保存
 

3.2 apachengnix 禁用sslv3请参考

https://wiki.mozilla.org/Security/Server_Side_TLS
 
 

3.3若受影响,对于系统管理员 可以配置服务器暂时不支持sslv3协议,可以参见这里进行配置

https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf

上一篇: 漏洞预警:系统权限提升漏洞(CVE-2014-6324)影响

下一篇: Google发布SSLv3漏洞简要分析报告