POODLE漏洞東山再起,影響TLS安全傳輸協議
責編:admin |2014-12-11 19:11:48谷歌安全團隊在十月發現的一個高危SSL漏洞POODLE,現在它又東山再起了,這次它影響的是SSL升級版——TLS協議。
POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞曾影響了使用最廣泛的加密標準——SSL v3.0,攻擊者可以利用該漏洞發動中間人攻擊攔截用戶瀏覽器和HTTPS站點的流量,然后竊取用戶的敏感信息,如用戶認證的cookies信息、賬號信息等。本次漏洞與上次類似,影響范圍同樣廣泛,包括銀行等最流行的互聯網網站。
FreeBuf科普:SSL與TLS的歷史
1994年,NetScape公司設計了SSL協議(Secure Sockets Layer)的1.0版,但是未發布。
1995年,NetScape公司發布SSL 2.0版,很快發現有嚴重漏洞。
1996年,SSL 3.0版問世,得到大規模應用。
1999年,互聯網標準化組織ISOC接替NetScape公司,發布了SSL的升級版TLS 1.0版。
2006年和2008年,TLS進行了兩次升級,分別為TLS 1.1版和TLS 1.2版。最新的變動是2011年TLS 1.2的修訂版。
目前,應用最廣泛的是TLS 1.0,接下來是SSL 3.0。但是,主流瀏覽器都已經實現了TLS 1.2的支持。TLS 1.0通常被標示為SSL 3.1,TLS 1.1為SSL 3.2,TLS 1.2為SSL 3.3。
漏洞分析
TLS(Transport Layer Security,傳輸層安全協議)用于兩個應用程序之間提供保密性和數據完整性。
本次漏洞影響TLS 1.2版本,攻擊者即使不先降級到SSL3.0也可通過TLS1.2用中間人攻擊方法繞過傳輸層加密機制竊取用戶的信息。攻擊者攻擊的主要目標是瀏覽器,因為在攻擊時必須得注入惡意Javascript腳本才能發動攻擊。攻擊需要發送256個請求覆蓋到一個cookie字符,或者發送4096個請求覆蓋cookie中的16個字符。
這一攻擊的成功率很高,建議廣大的用戶們要提高警惕,盡可能的把瀏覽器升級到最新的版本。
經測試發現一些主要的互聯網站都受這一漏洞的影響,如美國銀行、美國退伍軍人事務部網站。這一漏洞非常的嚴重,最新的SSL掃描顯示大約有10%的服務器都易受到POODLE攻擊。
目前已確定F5、A10等網絡設備易受影響,其他的網絡設備的是否也受影響目前還在測試中。
站長們要想檢測他們的服務器或者負載均衡設備是否易受到影響,可以通過這個地址進行檢測。
安全建議
針對個人上網用戶,我們建議您更新到最新版的瀏覽器,不要再使用IE6,及時更新到IE11或IE12;如果您使用的是低版本的FireFox或Chrome用戶,可以通過下面的配置禁止SSL3.0和TLS1.2以臨時降低風險。
IE低版本用戶:
打開瀏覽器,選擇工具->Internet選項->高級->把“USE SSL 3.0”選項去掉
FireFox低版本用戶:
在瀏覽器地址欄輸入about:config,將security.tls.version.max設置為3,security.ssl3.rsa_fips_des_ede3_sha設置為false
Chrome低版本用戶:
右鍵點擊Chrome圖標,輸入—ssl-version-min=tls1—“%1”