POODLE漏洞東山再起，影響TLS安全傳輸協議

谷歌安全團隊在十月發現的一個高危SSL漏洞POODLE，如今它又東山再起了，此次它影響的是SSL升級版——TLS協議。

POODLE（Padding Oracle On Downgraded Legacy Encryption）漏洞曾影響了使用最普遍的加密標準——SSL v3.0，攻擊者能夠利用該漏洞發動中間人攻擊攔截用戶瀏覽器和HTTPS站點的流量，而後竊取用戶的敏感信息，如用戶認證的cookies信息、帳號信息等。本次漏洞與上次相似，影響範圍一樣普遍，包括銀行等最流行的互聯網網站。

FreeBuf科普：SSL與TLS的歷史

1994年，NetScape公司設計了SSL協議（Secure Sockets Layer）的1.0版，可是未發佈。1995年，NetScape公司發佈SSL 2.0版，很快發現有嚴重漏洞。1996年，SSL 3.0版問世，獲得大規模應用。1999年，互聯網標準化組織ISOC接替NetScape公司，發佈了SSL的升級版TLS 1.0版。2006年和2008年，TLS進行了兩次升級，分別爲TLS 1.1版和TLS 1.2版。最新的變更是2011年TLS 1.2的修訂版。

目前，應用最普遍的是TLS 1.0，接下來是SSL 3.0。可是，主流瀏覽器都已經實現了TLS 1.2的支持。TLS 1.0一般被標示爲SSL 3.1，TLS 1.1爲SSL 3.2，TLS 1.2爲SSL 3.3。

漏洞分析

TLS(Transport Layer Security，傳輸層安全協議)用於兩個應用程序之間提供保密性和數據完整性。

本次漏洞影響TLS 1.2版本，攻擊者即便不先降級到SSL3.0也可經過TLS1.2用中間人攻擊方法繞過傳輸層加密機制竊取用戶的信息。攻擊者攻擊的主要目標是瀏覽器，由於在攻擊時必須得注入惡意Javascript腳本才能發動攻擊。攻擊須要發送256個請求覆蓋到一個cookie字符，或者發送4096個請求覆蓋cookie中的16個字符。

這一攻擊的成功率很高，建議廣大的用戶們要提升警戒，儘量的把瀏覽器升級到最新的版本。

經測試發現一些主要的互聯網站都受這一漏洞的影響，如美國銀行、美國退伍軍人事務部網站。這一漏洞很是的嚴重，最新的SSL掃描顯示大約有10%的服務器都易受到POODLE攻擊。

目前已肯定F五、A10等網絡設備易受影響，其餘的網絡設備的是否也受影響目前還在測試中。

站長們要想檢測他們的服務器或者負載均衡設備是否易受到影響，能夠經過這個地址進行檢測。

安全建議

針對我的上網用戶，咱們建議您更新到最新版的瀏覽器，不要再使用IE6，及時更新到IE11或IE12；若是您使用的是低版本的FireFox或Chrome用戶，能夠經過下面的配置禁止SSL3.0和TLS1.2以臨時下降風險。

IE低版本用戶：

打開瀏覽器，選擇工具->Internet選項->高級->把「USE SSL 3.0」選項去掉

FireFox低版本用戶：

在瀏覽器地址欄輸入about:config，將security.tls.version.max設置爲3，security.ssl3.rsa_fips_des_ede3_sha設置爲false

Chrome低版本用戶：

右鍵點擊Chrome圖標，輸入—ssl-version-min=tls1—「%1」，以下圖：

[轉載來自Freebuf]