Skip to content

Home 特別報告 SSL 3.0 關鍵漏洞
SSL 3.0 關鍵漏洞
週三, 15 十月 2014 17:31

 

CVE-2014-3566

簡介
20141015日,澳門保安事故協調中心MOCERT獲知SSL 3.0協定存在漏洞SSL網頁伺服器和瀏覽器之間以加解密方式溝通的安全技術,而該漏洞可令到伺服器和瀏覽器之間密鑰(session keys)被攻擊者提取Google進行這個名為貴賓犬(Poodle)攻擊行動發現此漏洞。忠吿建議伺服器使用TLS1.0[RFC2246]TLS1.1[RFC4346]TLS1.2[5246]取代SSL3.0

漏洞:

攻擊者會針對運行SSL3.0的伺服器進行攻擊利用SSL3.0加解密方式的弱點來取得密鑰。

影響:

攻擊者會採用攔截式攻擊(man-in-the-middle )來取得密鑰,並將得來的訊息進行解密。

受影響的系統:

所有使SSL3.0系統

更新:

建議採用TLS1.0, TLS1.1, and TLS1.2.來取代SSL3.0加解密方式。

參考資料:

Google Blog

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

Google Advisory
https://www.openssl.org/~bodo/ssl-poodle.pdf

Daniel Fox Franke Blog
https://www.dfranke.us/posts/2014-10-14-how-poodle-happened.html

 
[YOUR IP: 3.94.129.211: 51438] ...   [YOUR BROWSER: CCBot/2.0 (https://commoncrawl.org/faq/)] ...