CVE發佈CVE-2014-3566,代稱為POODLE的SSLv3弱點.
此議題正在蔓燒,各大網站已陸續關閉SSLv3的支持.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2014-3566
今年在網路資安上真是熱鬧的一年,從Heartbleed(CVE-2014-0160)開始,接續一連串的OpenSSL弱點相繼爆點.接著Linux BASH shellshock(CVE-2014-6271/CVE-2014-7169)問題後.前天又爆了一個SSLv3的弱點(CVE-2014-3566).接二連三的引爆,可說和近來的食安問題一樣驚呼連連.
此次問題與OpenSSL CVE-2014-0224問題一樣,讓SSL連線存在著透過man-in-the-middle(MITM)的方式竊取資料的風險.
許多大型公眾網站(facebook,twitter等)都已關閉對SSLv3連線的支援,以避免用戶遭遇可能的風險,相關Browser軟體也已計畫修補避免此問題.倒是檢測了幾個國內網路銀行網站,似乎還沒有對應動作.
有個不錯的參考link上,建議大家可以上去瀏覽一下.
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
而小弟也正在加緊研究,如何更改手上的相關系統.
提醒一下,不只是HTTPs,有用到SSL的通訊協定(SMTPs,IMAPs,FTPs,...)都記得要檢測一下喔.
請問windows有相關的說明嗎?
從client端要如何檢查~感謝^^
這要看你要檢查的winodws,是提供哪些服務. 就可以找相對應的client軟體來檢查.
例如:
Windows上有提供HTTPs web服務,就要找http client軟體來測試.簡單的方法是直接用IE瀏覽器,設定只能用SSLv3去連server.如果可以正常顯示網頁.就代表server沒有關閉SSLv3的支援.
參考: IE連覽器設定
在 Internet Explorer 中,按一下 [工具] 功能表的 [網際網路選項]
按一下 [進階] 索引標籤。
向下捲動至 [安全性] 區段。
取消核取 [使用 SSL 2.0, TLS 1.0, TLS 1.1, TLS 1.2]旁的方塊, 只留SSLv3。
按一下 [確定] 回到 Internet Explorer。
檢查完之後
記得把
[使用 SSL 2.0, TLS 1.0, TLS 1.1, TLS 1.2]旁的方塊打勾
取消核取SSLv3。