Google發佈SSLv3漏洞簡要分析報告

今天上午，Google發佈了一份關於SSLv3漏洞的簡要分析報告。根據Google的說法，該漏洞貫穿於全部的SSLv3版本中，利用該漏洞，黑客能夠經過中間人攻擊等相似的方式(只要劫持到的數據加密兩端均使用SSL3.0)，即可以成功獲取到傳輸數據(例如cookies)。截止到發文前，尚未任何補丁放出來。

對此Google表示，他們只能給出一個無奈的建議：關閉客戶端SSLv3支持或者服務器SSLv3支持或者二者所有關閉。

另外，Google已經明確表態將在接下來的數月中，逐步從其服務中撤銷掉SSLv3的支持。

 

SSL 3.0雖然已經將近15年了，可是基本全部的瀏覽器都支持該協議。服務器方面，有消息稱，全球TOP100萬的網站，超過99%站點使用了SSLv3

爲了保持兼容性，當瀏覽器進行HTTPS鏈接失敗的時候，將會嘗試舊的協議版本，包括SSL 3.0。 

攻擊者能夠利用這個特性強制瀏覽器使用SSL 3.0，從而進行攻擊。 攻擊者可利用該漏洞獲取安全鏈接當中的明文內容。

解決該問題能夠禁用SSL3.0，或SSL3.0中的CBC模式加密，可是有可能形成兼容性問題。 

建議支持TLS_FALLBACK_SCSV，這能夠解決重試鏈接失敗的問題，從而防止攻擊者強制瀏覽器使用SSL3.0。 

它還能夠防止降級到TLS1.2至1.1或1.0，可能有助於防止將來的攻擊。 

該漏洞的分析細節見： 

https://www.imperialviolet.org/2014/10/14/poodle.html 

（ps: 此漏洞屬於中間人攻擊，非心臟出血類漏洞）

 

 

修復建議：

全部支持SSLV3協議的軟件都受這個漏洞影響，能夠經過以下的工具來檢查是否支持sslv3協議
http://sourceforge.net/projects/sslscan/
https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on

在線檢測頁面 

服務器端：https://www.ssllabs.com/ssltest/

客戶端（瀏覽器）：https://sslv3.dshield.org:444/index.html

若受影響，對於系統管理員 能夠配置服務器暫時不支持sslv3協議，能夠參見這裏進行配置
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf

apache、ngnix 禁用sslv3
https://wiki.mozilla.org/Security/Server_Side_TLS

普通用於能夠暫時配置瀏覽器停用SSLV3協議，具體能夠參見
http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html