- A+
10月份刚修复过SSL严重漏洞的网站管理员们,貌似又要开始忙活了。安全研究人员发现该漏洞也会影响新TLS协议(安全传输层协议)的实现。
贵宾犬漏洞 (Padding Oracle On Downgraded Legacy Encryption)允许攻击者作为中间人的时候,对传输敏感信息进行解密,例如用户的cookie。
起初,安全研究人员认为该漏洞仅仅影响SSL 3.0版本,通过TLS 1.0,1.1,1.2取代老化的协议。 这种解决方案仍然置用户于危险之中,因为大多数的浏览器和服务器仍然支持SSL 3.0,因为兼容性的缘故。攻击者能够强制TLS连接降级到SSL,然后利用该漏洞。
现在,安全研究人员已经发现,该问题也影响TLS在产品中的实施,一些不适当检查的TLS数据包所用的“padding”的结构。
问题首先被发现在老版本的Mozilla的NSS(网络安全服务),在Firefox和其他产品中使用的加密库,但谷歌安全工程师亚当·兰利做了个扫描仪,找出是否有其他产品会受到影响。
他发现,一些重要站点存在该漏洞,原来是因为他们使用的负载均衡从F5 Networks和A10 Networks来处理TLS连接。
“F5已经发布补丁,A10应该今天发布更新,“Langley周一在博客中说 。“我不能完全肯定,我能发现了每一个受影响的厂商,但是,现在,这个问题是公开的,其他任何受影响的产品应该很快暴露出来。”
据安全厂商Qualys公司SSL Labs负责人Ivan Ristic所言,由SSL脉冲项目监测服务器的10%左右很容易通过TLS贵宾犬的攻击。 该SSL脉冲项目监测Alexa十一月的统计的访问量在前百万的网站列表中的启用HTTPS的大概151,000个站点。
想要检查他们的服务器或者网站使用的负载均衡设备是否存在该漏洞的网站管理员们,可以使用Qualys公司SSL实验室服务器测试 。
“如果存在该漏洞的,就该打补丁了,”Ivan Ristic的在他的博客里说,“这个问题应该很容易修复。”