新的SSL資安議題在蔓燒

poodle cve-2014-3566 sslv3

zyman2008 2014-10-16 22:47:58 ‧ 5230 瀏覽

分享至

CVE發佈CVE-2014-3566,代稱為POODLE的SSLv3弱點.
此議題正在蔓燒,各大網站已陸續關閉SSLv3的支持.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-3566
今年在網路資安上真是熱鬧的一年,從Heartbleed(CVE-2014-0160)開始,接續一連串的OpenSSL弱點相繼爆點.接著Linux BASH shellshock(CVE-2014-6271/CVE-2014-7169)問題後.前天又爆了一個SSLv3的弱點(CVE-2014-3566).接二連三的引爆,可說和近來的食安問題一樣驚呼連連.

此次問題與OpenSSL CVE-2014-0224問題一樣,讓SSL連線存在著透過man-in-the-middle(MITM)的方式竊取資料的風險.
許多大型公眾網站(facebook,twitter等)都已關閉對SSLv3連線的支援,以避免用戶遭遇可能的風險,相關Browser軟體也已計畫修補避免此問題.倒是檢測了幾個國內網路銀行網站,似乎還沒有對應動作.

有個不錯的參考link上,建議大家可以上去瀏覽一下.
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

而小弟也正在加緊研究,如何更改手上的相關系統.
提醒一下,不只是HTTPs,有用到SSL的通訊協定(SMTPs,IMAPs,FTPs,...)都記得要檢測一下喔.

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 則留言

愛吃起司的胖達

iT邦好手 1 級 ‧ 2014-10-16 23:41:59

想不到呀
SSL會有如此淒慘的一天

回應
檢舉

登入發表回應

atskbook

iT邦新手 5 級 ‧ 2014-10-17 09:39:19

請問windows有相關的說明嗎?
從client端要如何檢查~感謝^^

回應 2
檢舉

zyman2008 iT邦大師 6 級 ‧ 2014-10-17 14:19:02 檢舉

這要看你要檢查的winodws,是提供哪些服務. 就可以找相對應的client軟體來檢查.
例如:
Windows上有提供HTTPs web服務,就要找http client軟體來測試.簡單的方法是直接用IE瀏覽器,設定只能用SSLv3去連server.如果可以正常顯示網頁.就代表server沒有關閉SSLv3的支援.

參考: IE連覽器設定
在 Internet Explorer 中，按一下 [工具] 功能表的 [網際網路選項]
按一下 [進階] 索引標籤。
向下捲動至 [安全性] 區段。
取消核取 [使用 SSL 2.0, TLS 1.0, TLS 1.1, TLS 1.2]旁的方塊, 只留SSLv3。
按一下 [確定] 回到 Internet Explorer。