今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。
对此Google表示,他们只能给出一个无奈的建议:关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。
另外,Google已经明确表态将在接下来的数月中,逐步从其服务中撤销掉SSLv3的支持。
SSL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。服务器方面,有消息称,全球TOP100万的网站,超过99%站点使用了SSLv3
为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。
攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。 攻击者可利用该漏洞获取安全连接当中的明文内容。
解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。
建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。
它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。
该漏洞的分析细节见:
https://www.imperialviolet.org/2014/10/14/poodle.html
(ps: 此漏洞属于中间人攻击,非心脏出血类漏洞)
修复建议:
所有支持SSLV3协议的软件都受这个漏洞影响,可以通过如下的工具来检查是否支持sslv3协议
http://sourceforge.net/projects/sslscan/
https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on
在线检测页面
服务器端:https://www.ssllabs.com/ssltest/
客户端(浏览器):https://sslv3.dshield.org:444/index.html
若受影响,对于系统管理员 可以配置服务器暂时不支持sslv3协议,可以参见这里进行配置
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf
apache、ngnix 禁用sslv3
https://wiki.mozilla.org/Security/Server_Side_TLS
普通用于可以暂时配置浏览器停用SSLV3协议,具体可以参见
http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html