POODLE attacks on SSLv3 (WOOYUN)

  • A+
所属分类:WooYun-Zone

瞌睡龙 (drops) POODLE attacks on SSLv3  (WOOYUN) | 2014-10-15 10:56

SSL v3爆出漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容。

SSL 3.0虽然已经将近15年了,但是基本所有的浏览器都支持该协议。

为了保持兼容性,当浏览器进行HTTPS连接失败的时候,将会尝试旧的协议版本,包括SSL 3.0。

攻击者可以利用这个特性强制浏览器使用SSL 3.0,从而进行攻击。

解决该问题可以禁用SSL3.0,或SSL3.0中的CBC模式加密,但是有可能造成兼容性问题。

建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。

它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。

该漏洞的分析细节见:

https://www.imperialviolet.org/2014/10/14/poodle.html

(ps: 此漏洞属于中间人攻击,非心脏出血类漏洞)

分享到: