TLS 協定敏感資料洩露漏洞(ROBOT)
最後更新
2017年12月14日 09:21
發佈日期:
2017年12月14日
3106
觀看次數
風險: 中度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
在多個網站或其他伺服器軟件發現一個逾 19 年的 TLS 協定漏洞。
- 該漏洞被名為「Return Of Bleichenbacher's Oracle Threat」(ROBOT),是源於建設 RSA PKCS #1 v1.5 時產生的問題。
- 有 TLS 協定但只支援 RSA 匙交換的主機會受此漏洞影響。
- 攻擊者可利用漏洞取得敏感資料,例如私匙或甚至解密已加密訊息。
- 不過實際攻擊取決於攻擊者能否先成功進行「中間人攻擊」,例如設置假 Wi-Fi 連接並能竊取用戶與伺服器之間的連線。
- 現時已有多個供應商提供修補程式。詳細資料及暫時處理辦法請參閱「方案」部份。
影響
- 資料洩露
受影響之系統或技術
- 受影響並已提供修補程式的產品資料請參閱「方案」部份。
- 你可使用 robotattack.org 的「Test Server」功能測試網站是否受影響。
- 據研究員所述,暫時不會公佈受影響但尚未提供修補程式的產品。
- 此漏洞現時只會影響伺服器。用戶端瀏覽器並無修補程式。
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 受影響並已提供修補程式的產品資料請參閱以下連結:
https://robotattack.org/#patches - 暫時處理辦法:ROBOT 只影響使用 RSA 加密的 TLS cipher 模式。因此強烈建議停用 RSA 加密,即所有以 TLS_RSA 開頭的 ciphers。
漏洞識別碼
- CVE-2017-6168
- CVE-2017-1000385
- CVE-2017-17427
- CVE-2017-13098
- CVE-2017-13099
- CVE-2017-17428
- CVE-2017-17382
- CVE-2012-5081
- CVE-2016-6883
資料來源
相關連結
分享至