关于OpenSSL SSL V3 Protocol存在高危漏洞的情况公告

        10月15日,CNVD收录了SSL V3协议存在的一个可导致信息泄露的高危漏洞(CNVD-2014-06718,对应CVE-2014-3566)。攻击者用来发起远程攻击,窃取采用了sslv3加密通信过程中的内容,构成信息泄露安全风险,目前厂商暂时没有提供升级补丁。

        一、漏洞情况分析

        SSL V3是一项传输层安全协议,主要用于网站、邮件服务器等相关应用服务的网络安全传输。近日,SSL V3协议被披露存在安全漏洞,攻击者可以利用此漏洞发起中间人欺骗攻击,当通信两端的用户主机均使用SSL V3进行安全传输时,可发起攻击窃取敏感信息。SSL V3协议最早启用于1996年,目前已被TLS 1.0,TLS 1.1,TLS 1.2等高级协议代替,同时由于兼容性原因,大多数的TLS协议实现兼容SSL V3。用户浏览器在与服务器端的TLS握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商,即降级协商。根据分析,受漏洞影响的除了SSL V3本身外,还包括采用TLS 1.0和TLS 1.2等协议组件的客户端产品。CNVD对该漏洞的综合评级为“高危”。 

        漏洞存在于SSL V3的CBC块加密漏洞,攻击者可成功破解SSL连接的加密信息。进一步分析表明,攻击者很有可能会通过控制客户端和服务器之间的数据通信,使受影响版本浏览器与服务器端使用较新协议的协商建立失败,从而导致直接应用SSL V3的降级通信协商,达成攻击条件。

        二、漏洞处置建议

        1、软件生产厂商暂时没有提供升级补丁,同时请广大用户及时关注厂商官网及时下载更新。

        2、建议用户先检测使用软件是否支持SSLV3协议,并配置服务器暂时不支持sslv3协议,具体如下所示: 

        1)sslv3协议检测工具如下:

        http://sourceforge.net/projects/sslscan/

        https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on

        在线检测页面:https://sslv3.dshield.org:444/index.html

        2)用户可自配置服务器主机暂时不支持sslv3协议,可以参见如下链接进行配置:

        https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf

        同时,终端用户可配置浏览器停用SSLV3协议,具体可以参见如下链接:

        http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html

        注:CNVD成员单位绿盟科技、安天实验室即分中心提供了漏洞分析文档及部分研判支持。

        参考链接:

        1. https://www.openssl.org/~bodo/ssl-poodle.pdf

 

        2. https://www.imperialviolet.org/2014/10/14/poodle.html

发表评论