Google发布SSLv3漏洞简要分析报告

安全 漏洞
今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。

今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。

[[121247]]

对此Google表示,他们只能给出一个无奈的建议:关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。

另外,Google已经明确表态将在接下来的数月中,逐步从其服务中撤销掉SSLv3的支持。

Google发布SSLv3漏洞简要分析报告  

FreeBuf修复建议(感谢红黄满提供):

Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;

ssl_session_timeout 5m;

ssl_session_cache builtin:1000 shared:SSL:10m;

Apache:

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

报告原文地址

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html?m=1

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-09-23 13:24:17

2015-09-22 09:21:46

2013-03-22 10:00:14

2021-02-20 17:36:30

Google开源项目漏洞

2015-12-03 15:53:57

2010-06-28 10:46:33

Google浏览器安全安全漏洞

2009-02-20 16:56:53

2011-08-26 11:44:01

2022-03-01 11:04:03

安全漏洞网络安全威胁情报

2014-10-17 10:31:25

2017-10-18 15:41:54

2015-11-17 09:46:29

CoreOS开源漏洞分析

2020-11-21 19:30:48

GitHub代码开发者

2010-12-24 11:08:47

蜂巢Android 3.0

2013-10-24 09:52:06

2021-06-18 06:21:02

微软漏洞报告BeyondTrust

2013-11-18 09:51:12

GoogleGoogle Sear

2018-08-29 05:33:52

2018-09-19 12:53:52

微软数据中心故障

2018-08-10 22:29:03

数据分析招生考研
点赞
收藏

51CTO技术栈公众号