Google发布SSLv3漏洞简要分析报告

最新推荐文章于 2022-03-21 13:54:03 发布
最新推荐文章于 2022-03-21 13:54:03 发布
阅读量934 收藏
点赞数
文章标签: 运维
原文链接:http://www.cnblogs.com/kungfupanda/p/4760931.html
版权

摘要:今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。

作者:FreebuF.COM 来源:ZDNet安全频道 | 2014年10月15日 11:59:26

关键字:Google SSLv3漏洞

 

 

今天上午,Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本中,利用该漏洞,黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前,还没有任何补丁放出来。

对此Google表示,他们只能给出一个无奈的建议:关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。

另外,Google已经明确表态将在接下来的数月中,逐步从其服务中撤销掉SSLv3的支持。

FreeBuf修复建议(感谢红黄满提供):

Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;

Apache:

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

报告原文地址

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html?m=1

 

http://security.zdnet.com.cn/security_zone/2014/1015/3036303.shtml

转载于:https://www.cnblogs.com/kungfupanda/p/4760931.html

weixin_34274029
关注
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 1059
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
java 启用 sslv3_jdk版本导致的调用https的SSLV3协议错误
weixin_39573781的博客
02-26 1586
在调试接口过程,发现本地调试一直正常,但服务器一直报 “Server chose SSLv3, but that protocol version is not enabled or not supported by the client.” 去网上查了下,说linux要开启SSL v3。咨询了下运维,给我的答复是,https的URL可以在服务器上访问。 在这个过程我看了下服务器的jdk版本和...
防护SSL V3漏洞
iteye_14637的博客
10-15 204
我们刚刚从 OpenSSL官网了解到SSLv3 - Poodle 攻击,请广大用户注意,详细的信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf 该漏洞贯穿于所有的SSLv3版本利用漏洞黑客可以间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。截止到发文前...
Tomcat相关的安全扫描漏洞记录
凉茶冰
11-13 2928
目录 1.SSLv3漏洞CVE-2014-3566) 2.检测到错误页面web应用服务器版本信息泄露 3.点击劫持:X-Frame-Options未配置 4.检测到目标服务器启用了OPTIONS方法 参考文献 1.SSLv3漏洞CVE-2014-3566) 备注:SSLv3漏洞CVE-2014-3566),该漏洞贯穿于所有的SSLv3版本利用漏洞黑客可以间人攻击...
SSLv3存在严重设计缺陷漏洞CVE-2014-3566
weixin_30834783的博客
08-17 3788
SSLv3存在严重设计缺陷漏洞CVE-2014-3566) 1、引发问题的原因 SSLv3漏洞CVE-2014-3566),该漏洞贯穿于所有的SSLv3版本利用漏洞黑客可以间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。针对此漏洞,需要服务器端和客户端均停用SSLv3协议。 2、解决方法 临时解决办法:修...
POODLE SSLv3 安全漏洞 (CVE-2014-3566)
Greer的博客
08-18 8133
漏洞概述 SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。为了用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时,首先提供其所支持协议的最新版本,若该握手失败,
poodle:SSLv3POODLE漏洞的概念证明
05-03
此攻击包含3个组成部分:客户端,服务器和攻击者控制的MitM代理。 由SecureTCPHandler在此处实现的服务器是完全正常的SSL服务器。 这常是一个HTTP服务器,它接受来自任何客户端的请求。 攻击者无法“读取”...
sslv3-diediedie:为什么 SSLv3 不是一个好主意
06-21
SSLv3 不安全 贡献 在提交反馈之前,请熟悉我们当前的问题列表并查看。 如果您对此不熟悉,您可能还想阅读之。 请注意,对规范的所有贡献都属于下面概述的“注意事项”条款。 提供反馈(编辑或设计)和提问的最佳...
Opera7.23-SSLv3 https可以使用的浏览器
08-07
SSLv3SSL协议的第三个版本发布于1996年,尽管它在当时为安全连接提供了基础,但随着时间的推移,由于其存在的安全漏洞,如POODLE攻击( Padding Oracle On Downgraded Legacy Encryption),SSLv3逐渐被淘汰。...
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)
热门推荐
hongweibing1的专栏
11-21 1万+
详细描述 SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。  为了用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时候,首先提供其所支持协议的最新版
SSLv3 存在严重设计缺陷漏洞 (CVE-2014-3566)
山兔的博客
03-14 3642
SSL3.0是已过时且不安全的协议,他会导致用户在传输数据的时候,被泄露,这个时候,完美只要验证在数据传输的时候,使用了SSLv3协议,即可证明存在这个漏洞 sslscan有相当完整的支持来检测SSL和TLS的所有版本和密码 代码:sslscan IP 使用效果: 注意点: 也有可能是waf那边的配置导致,waf那边可以配置加密算法和ssl 版本 ...
社区说|开源项目的个人经验与心得
谷歌开发者
11-30 349
活动时间12月2日(本周四)20:00-21:00活动日程20:00-20:45 主题分享开源项目的个人经验与心得为什么要给开源项目贡献?如何找到适合自己的项目?如何实际参与开源项目?推荐...
RSA加密(3.0)
jie863230900的专栏
11-05 820
在上面RSA加密(2.0)我们讲到了第一种RSA加密方式,但是这种加密方式适用范围比较窄,对加密的数据有长度限制,下面我们讲一下第二种RSA加密方式 第二种需要openssl静态库,所以我们首要做的事情就是制作静态库 分别需要生成适用于armv7,armv7s,arm64和i386情况的静态库,并且合并各个静态库,才能适用于各种机型(包括模拟器) 1.去https://op
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 3014
漏洞详情 POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用漏洞发动间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要过禁用SSLv3去修复此漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
SSLv3 协议漏洞‘POODLE’修复与相关概念
weixin_33713350的博客
10-19 736
2014年10月15日,Google发布了一份关于SSLv3 “POODLE”的高危漏洞漏洞编号CVE-2014-3566)的简要分析报告。根据Google的说法,该漏洞贯穿于所有的SSLv3版本利用漏洞,***可以间人***等类似的方式(只要劫持到的数据加密两端均使用SSL3.0),便可以成功获取到传输数据(例如cookies)。漏洞说明利用场景修复方法背景知...
Google Play提示OpenSSL版本太低的解决方案
在路上
01-17 3999
最近一段时间,团队一直再做产品国际化的工作。我们的App做完国际化后也需要发布google play市场,提交了四次被拒绝四次,每次的反馈信息都是如下: 第一次被拒,我们检查发现在上传的时候没有配置隐私政策的网址,如是我们专门做了一个隐私政策的H5页面,将地址配置到上传信息的地方,如是欣喜滴提交了。然而,不到三个小时,又收到一封和之前一样的邮件。 然后,我们再次阅读这
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值