谷歌安全團隊在十月發現的一個高危SSL漏洞POODLE,如今它又東山再起了,此次它影響的是SSL升級版——TLS協議。瀏覽器
POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞曾影響了使用最普遍的加密標準——SSL v3.0,攻擊者能夠利用該漏洞發動中間人攻擊攔截用戶瀏覽器和HTTPS站點的流量,而後竊取用戶的敏感信息,如用戶認證的cookies信息、帳號信息等。本次漏洞與上次相似,影響範圍一樣普遍,包括銀行等最流行的互聯網網站。安全
FreeBuf科普:SSL與TLS的歷史服務器
1994年,NetScape公司設計了SSL協議(Secure Sockets Layer)的1.0版,可是未發佈。1995年,NetScape公司發佈SSL 2.0版,很快發現有嚴重漏洞。1996年,SSL 3.0版問世,獲得大規模應用。1999年,互聯網標準化組織ISOC接替NetScape公司,發佈了SSL的升級版TLS 1.0版。2006年和2008年,TLS進行了兩次升級,分別爲TLS 1.1版和TLS 1.2版。最新的變更是2011年TLS 1.2的修訂版。
cookie
目前,應用最普遍的是TLS 1.0,接下來是SSL 3.0。可是,主流瀏覽器都已經實現了TLS 1.2的支持。TLS 1.0一般被標示爲SSL 3.1,TLS 1.1爲SSL 3.2,TLS 1.2爲SSL 3.3。網絡
漏洞分析負載均衡
TLS(Transport Layer Security,傳輸層安全協議)用於兩個應用程序之間提供保密性和數據完整性。工具
本次漏洞影響TLS 1.2版本,攻擊者即便不先降級到SSL3.0也可經過TLS1.2用中間人攻擊方法繞過傳輸層加密機制竊取用戶的信息。攻擊者攻擊的主要目標是瀏覽器,由於在攻擊時必須得注入惡意Javascript腳本才能發動攻擊。攻擊須要發送256個請求覆蓋到一個cookie字符,或者發送4096個請求覆蓋cookie中的16個字符。測試
這一攻擊的成功率很高,建議廣大的用戶們要提升警戒,儘量的把瀏覽器升級到最新的版本。網站
經測試發現一些主要的互聯網站都受這一漏洞的影響,如美國銀行、美國退伍軍人事務部網站。這一漏洞很是的嚴重,最新的SSL掃描顯示大約有10%的服務器都易受到POODLE攻擊。加密
目前已肯定F五、A10等網絡設備易受影響,其餘的網絡設備的是否也受影響目前還在測試中。
站長們要想檢測他們的服務器或者負載均衡設備是否易受到影響,能夠經過這個地址進行檢測。
安全建議
針對我的上網用戶,咱們建議您更新到最新版的瀏覽器,不要再使用IE6,及時更新到IE11或IE12;若是您使用的是低版本的FireFox或Chrome用戶,能夠經過下面的配置禁止SSL3.0和TLS1.2以臨時下降風險。
IE低版本用戶:
打開瀏覽器,選擇工具->Internet選項->高級->把「USE SSL 3.0」選項去掉
FireFox低版本用戶:
在瀏覽器地址欄輸入about:config,將security.tls.version.max設置爲3,security.ssl3.rsa_fips_des_ede3_sha設置爲false
Chrome低版本用戶:
右鍵點擊Chrome圖標,輸入—ssl-version-min=tls1—「%1」,以下圖:
[轉載來自Freebuf]