Google發布SSLv3漏洞簡要分析報告
責編:admin |2014-10-15 15:47:04今天上午,Google發布了一份關于SSLv3漏洞的簡要分析報告。根據Google的說法,該漏洞貫穿于所有的SSLv3版本中,利用該漏洞,黑客可以通過中間人攻擊等類似的方式(只要劫持到的數據加密兩端均使用SSL3.0),便可以成功獲取到傳輸數據(例如cookies)。截止到發文前,還沒有任何補丁放出來。
對此Google表示,他們只能給出一個無奈的建議:關閉客戶端SSLv3支持或者服務器SSLv3支持或者兩者全部關閉。
另外,Google已經明確表態將在接下來的數月中,逐步從其服務中撤銷掉SSLv3的支持。
FreeBuf修復建議:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS報告原文地址