SSL/TLS 協定漏洞
最後更新
2011年10月03日
發佈日期:
2011年09月30日
3328
觀看次數
風險: 中度風險
類型: 攻擊 - 其他
在使用密碼塊鏈接(Cypher Block Chaining,簡稱 CBC)的 SSL/TLS 發現漏洞,惡意使用者可利用漏洞進行中間人攻擊,解密 SSL/TLS 交通,並取得敏感資料。
驗證概念的攻擊方法已被公開。
影響
- 資料洩露
受影響之系統或技術
- 任何在 CBC 模式下使用 SSL v3.0 / TLS v1.0 之暗號套件的互聯網應用程式或網絡裝置。
解決方案
- 一般使用者
- 使用已修補漏洞的瀏覽器,例如 Google Chrome
- 啟用瀏覽器內 TLS 1.1 及/或 TLS 1.2 支援
- IT 管理人員
- 停用使用密碼塊鏈接的暗號
- 啟用伺服器軟件/網站裝置內 TLS 1.1 支援
- 在伺服器軟件內優先使用 RC4 演算法
注意:更改設定前請先測試。
漏洞識別碼
資料來源
相關連結
- http://www.educatedguesswork.org/2011/09/security_impact_of_the_rizzodu.html
- http://www.imperialviolet.org/2011/09/23/chromeandbeast.html
- http://secunia.com/advisories/45791/
- http://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications/
- http://technet.microsoft.com/en-us/security/advisory/2588513
- http://www.kb.cert.org/vuls/id/864643
分享至