正如大家所知,如今发现了一个新的名为“POODLE”的SSLv3安全漏洞。注意,这是本月以来第四个重大安全问题,随着越来越多研究人员将重心放在公众开源系统,我们预期在未来可能存在更多的安全问题。

SSL和POODLE分别是什么?

SSL主要用来保护你在互联网上的通信,就网站访问来说,SSL通常被认为是HTTPS。

SSL第3版(SSLv3)已经很老了(近18年),现在已经被新的TLS协议取代,新的TLS协议内置于所有新的浏览器和系统,并且是用户不可见的,但是SSL和TLS协议都是HTTPS协议的一部分。

然而每个人仍旧支持SSLv3反向兼容于较老的浏览器——如在中国仍非常普遍的Windows XP系统中的IE6浏览器。

不幸的是,SSLv3中存在一个漏洞,攻击者可利用该漏洞获取安全连接当中的明文内容(中间人攻击)。他们可以实现这一目的是通过迫使浏览器使用SSLv3协议(降级),因为当前所有的浏览器都会在HTTPS连接失败时尝试旧的协议版本(这将在今年移除)。

禁用服务器上的SSLv3-当下关键的修复方法

现在最好的解决方案是在你的服务器上禁用SSLv3(SSLv2应该已经被禁用)。但是这也会导致新的问题产生——老的浏览器(如IE6或者其它基于SSLv3的浏览器)可能不支持新的TLS协议。这些浏览器依靠的就是SSLv3。IE6最初是 Windows XP系统中的浏览器,现在在中国仍旧较为普遍,尽管大部分XP用户已经升级到IE7或者使用了火狐浏览器,风险大体上可能较低,但是一些用户可能受到影响不能使用您网站使用HTTPS——我们正在努力劝说这一部分用户进行升级。所以禁用SSLv3可以保护您免于这次攻击,但是可能导致一些用户(仍旧使用IE6的用户)不能访问您的网站。

有另外一种可行的修复方法——支持TLS_FALLBACK_SCSV,这是HTPS的新特点,可以防止攻击者强制浏览器使用SSLv3(或者TLS 1.0/1.1)。但是这种方法有以下问题:

  • 需要与服务器软件同步,其中一些现在还不能实现。
  • 需要服务器AND和网络浏览器的支持——所以你的网站的所有访问者也需要升级他们的浏览器。
  • 并不是受到所有网络浏览器的支持。
  • 仍旧不能保护使用较老版本浏览器(如IE6)的用户免遭攻击。

所以TLS_FALLBACK_SCSV是我们将继续跟进的方法。.

后续工作:

大体上说,这是一次引人关注的攻击,但是执行起来也相当复杂,这次攻击要求在客户端进行信息拦截,尽管理论上可能在咖啡厅等拥有wi-fi的地点发生这种情况。这不是紧急修复,但是我们在讨论后悔尽快修复。

所以,我们建议禁用服务器上的SSLv3协议——您的项目经理将会在不久之后联系您进一步进行讨论

如果您有其它问题请联系我们。

云络科技安全团队