安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 网络安全 > 告警:贵宾犬漏洞卷土重来,影响TLS安全协议

告警:贵宾犬漏洞卷土重来,影响TLS安全协议

时间:2015-01-30来源: 作者:360安全播报平台点击:
10月份刚修复过SSL严重漏洞的网站管理员们,貌似又要开始忙活了。安全研究人员发现该漏洞也会影响新TLS协议(安全传输层协议)的实现。贵宾犬漏洞(Padding Oracle On Downgrade

告警:贵宾犬漏洞卷土重来,影响TLS安全协议 //内容来自安云网

10月份刚修复过SSL严重漏洞的网站管理员们,貌似又要开始忙活了。安全研究人员发现该漏洞也会影响新TLS协议(安全传输层协议)的实现。

//内容来自安云网

贵宾犬漏洞 (Padding Oracle On Downgraded Legacy Encryption)允许攻击者作为中间人的时候,对传输敏感信息进行解密,例如用户的cookie。

//内容来自AnYun.ORG

起初,安全研究人员认为该漏洞仅仅影响SSL 3.0版本,通过TLS 1.0,1.1,1.2取代老化的协议。 这种解决方案仍然置用户于危险之中,因为大多数的浏览器和服务器仍然支持SSL 3.0,因为兼容性的缘故。攻击者能够强制TLS连接降级到SSL,然后利用该漏洞。

//内容来自AnYun.ORG

现在,安全研究人员已经发现,该问题也影响TLS在产品中的实施,一些不适当检查的TLS数据包所用的“padding”的结构。 //本文来自安云网

问题首先被发现在老版本的Mozilla的NSS(网络安全服务),在Firefox和其他产品中使用的加密库,但谷歌安全工程师亚当·兰利做了个扫描仪,找出是否有其他产品会受到影响。 //本文来自安云网

他发现,一些重要站点存在该漏洞,原来是因为他们使用的负载均衡从F5 Networks和A10 Networks来处理TLS连接。 //本文来自安云网

“F5已经发布补丁,A10应该今天发布更新,“Langley周一在博客中说 。“我不能完全肯定,我能发现了每一个受影响的厂商,但是,现在,这个问题是公开的,其他任何受影响的产品应该很快暴露出来。”

//内容来自安云网

据安全厂商Qualys公司SSL Labs负责人Ivan Ristic所言,由SSL脉冲项目监测服务器的10%左右很容易通过TLS贵宾犬的攻击。 该SSL脉冲项目监测Alexa十一月的统计的访问量在前百万的网站列表中的启用HTTPS的大概151,000个站点。 //本文来自安云网

想要检查他们的服务器或者网站使用的负载均衡设备是否存在该漏洞的网站管理员们,可以使用Qualys公司SSL实验室服务器测试 

//内容来自AnYun.ORG

“如果存在该漏洞的,就该打补丁了,”Ivan Ristic的在他的博客里说,“这个问题应该很容易修复。” //内容来自AnYun.ORG

//内容来自AnYun.ORG

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容