POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
如何检测漏洞
可以是通过在线检测工具https://www.ssllabs.com/ssltest/ 来进行检测。
修复措施
禁用sslv3协议,不同的web server不尽相同。这边列举主流的服务器的禁用方式
Nginx 服务器上修复方法:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
apache 服务器上修复方法:
SSLProtocol all -SSLv2 -SSLv3
IIS 服务器上修复方法:
使用我们的套件工具,下载地址:https://www.nartac.com/Products/IISCrypto/Default.aspx
根据图示进行选择,修改完成后重启服务器。
Tomcat 服务器修复方法:
Tomcat 5 and 6 (prior to 6.0.38)
<Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol”
maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
clientAuth=”false” sslProtocols = “TLSv1,TLSv1.1,TLSv1.2″ />
Tomcat 6 (6.0.38 and later) and 7
<Connector port=”8443″ protocol=”org.apache.coyote.http11.Http11Protocol”
maxThreads=”150″ SSLEnabled=”true” scheme=”https” secure=”true”
clientAuth=”false” sslEnabledProtocols = “TLSv1,TLSv1.1,TLSv1.2″ />
使用apr的tomcat
<Connector port=”443″ maxHttpHeaderSize=”8192″
maxThreads=”150″
enableLookups=”false” disableUploadTimeout=”true”
acceptCount=”100″ scheme=”https” secure=”true”
SSLEnabled=”true”
SSLProtocol=”TLSv1″
SSLCertificateFile=”${catalina.base}/conf/localhost.crt”
SSLCertificateKeyFile=”${catalina.base}/conf/localhost.key” />
*注意事项:
Windows XP 系统下的 IE6 或以IE6作为内核的浏览器,默认不支持 SSL3.0以上的 加密协议。
若服务端关闭SSL3.0协议,需在此类客户端启用TLS 协议。
手机站二维码