【Web漏洞响应】绿盟科技实现新爆SSL/TLS Suffers ‘Bar Mitzvah Atta

【Web漏洞响应】绿盟科技实现新爆SSL/TLS Suffers ‘Bar Mitzvah Atta

漏洞概述

SSL/TLS Suffers ‘Bar Mitzvah Attack漏洞是由功能较弱而且已经过时的RC4加密算法中一个长达13年的问题所导致的.通过RC4的不变性弱密钥,允许攻击者在特地情况下还原加密信息中的纯 文本,可能就会暴露帐户密码,信用卡数据,或其他敏感信息。不像以前SSL攻击手法,仅仅只需要被动嗅探和监听SSL/TLS连接就可以进行攻击。如果要劫持会话可能还是要用到中间人攻击。

成因分析

该漏洞的产生原因是由于不变性弱点,是在RC4加密算法中的一个L型关键图形,其中一旦它存在于一个RC4密钥,保存的状态会排列完整直到整个初始化过程结束。这个完整的部分包括排列的至少显着位当由PRGA算法处理,确定了据称伪随机输出流的最低有效位沿着数据流的一个长长前缀。这些偏流的字节的明文字 节的异或运算,就会导致重大泄漏明文字节内容。

如何核查是否存在该漏洞

专攻于Web脆弱性安全评估的Web应用漏洞扫描系统(简称WVSS产品),已在漏洞爆出后的第一时间内完美实现此波Web漏洞的检测能力,可通过更新插件库进行快、准、全的扫描发现。

推荐用户应急措施

目前虽然Debian/Ubuntu/RedHat等主流发行版本均未出正式修复补丁,万幸的是攻击POC也未正式公布出来,所以大家可以先参考临时修复方案进行修复。

发表评论