協議漏洞來襲:安全防范刻不容緩
責編:admin |2014-11-04 16:44:08SSL,全稱Secure Socket Layer,為Netscape所研發,用以保障在Internet上數據傳輸之安全,利用數據加密(Encryption)技術,可確保數據在網絡上之傳輸過程中不會被截取及竊聽。簡單的說,就是加密傳輸的數據,避免被截取監聽等。
然而在本月中旬,知名加密協議SSLv3曝出名為“poodle”的高危漏洞(漏洞編號CNNVD-201410-267),可導致網絡中傳輸的數據被黑客監聽,使用戶的敏感信息、網絡賬號和銀行賬戶被盜。目前,官方尚未發布修復補丁,因此該漏洞仍為0Day漏洞。安全專家警告,IE、Firefox、Chrome等瀏覽器用戶在使用免費WiFi以及安全級別較低的路由器時,極易遭遇黑客攻擊,因此廣大網民及網站運維人員應盡快應關閉SSLv3,同時加強路由器的安全防護。
據了解,協議漏洞可分為以下兩種:一種是心臟出血“Heart Bleed”:高危漏洞(CNNVD-201404-073)。一個請求就可能竊取到一個用戶帳號(返回服務器64K內存);另一種是“貴賓犬(Poodle)”:普通漏洞。數萬次請求可能竊取到一個用戶帳號(1字節1字節的猜)。
其實,SSL協議漏洞與SSL證書本身是無關的。SSL證書用于激活服務器和客戶端之間的SSL傳輸協議。現有的SSL協議已發展出SSLv2、SSLv3、TLSv1、TLSv1.1及TLSv1.2多個版本。其中SSLv2及SSLv3已被發現存在漏洞,推薦在服務器端配置關閉該協議,僅開啟TLSv1、TLSv1.1及TLSv1.2即可避免受到漏洞影響。