跳至主內容

SSL/TLS 協定漏洞

最後更新 2011年10月03日 發佈日期: 2011年09月30日 3360 觀看次數

風險: 中度風險

類型: 攻擊 - 其他

類型: 其他

在使用密碼塊鏈接(Cypher Block Chaining,簡稱 CBC)的 SSL/TLS 發現漏洞,惡意使用者可利用漏洞進行中間人攻擊,解密 SSL/TLS 交通,並取得敏感資料。

 

驗證概念的攻擊方法已被公開。


影響

  • 資料洩露

受影響之系統或技術

  • 任何在 CBC 模式下使用 SSL v3.0 / TLS v1.0 之暗號套件的互聯網應用程式或網絡裝置。

 


解決方案

  • 一般使用者
    • 使用已修補漏洞的瀏覽器,例如 Google Chrome
    • 啟用瀏覽器內 TLS 1.1 及/或 TLS 1.2 支援
  • IT 管理人員
    • 停用使用密碼塊鏈接的暗號
    • 啟用伺服器軟件/網站裝置內 TLS 1.1 支援
    • 在伺服器軟件內優先使用 RC4 演算法

    注意:更改設定前請先測試。

 


漏洞識別碼

 


資料來源

 


相關連結