SSL密钥重新协商机制有最大安全漏洞,急需用户升级补漏
2010-11-22 18:06
501 查看
美国PhoneFactor公司的两名安全专家Marsh Ray与Steve Dispensa于2009年9月份公开了他们在TLS/SSL安全协议中发现的 安全漏洞 。TLS (传输层安全协议)以及SSL(安全套接层协议)是目前已经被广泛使用的保证网络传输信息的加密传输协议,两位专家在自己的 博客 上公开了这两个安全协议中的漏洞。专家们表示,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。由于TLS协议中的密钥再协商功能使得验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此便给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体。据另一位安全专家Chris Paget表示,TLS协议中存在的这种漏洞在SSL协议上同样存在。
发现这一漏洞之后,Ray和Dispensa很快将其报告给了网络安全产业联盟(ICASI),该联盟由微软、诺基亚、思科、IBM、英特尔和Juniper创立。同时他们还将其报告给了互联网工程任务组(IETF)以及几家开源的SSL项目组织。9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。
微软于2010年2月11日发布了第977377号安全公告《 Microsoft 安全公告:TLS/SSL 中的漏洞可能允许欺骗 》,要求用户在受影响的系统上采用禁用TLS和SSL重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端以免被该漏洞所利用。同时,IETF于2010年2月发布了新的协议扩展版RFC 5746《 Transport Layer Security (TLS) Renegotiation Indication Extension ,TLS重新协商标识扩展》。各大软件厂商也纷纷陆续推出了支持此扩展协议的补丁,微软于8月16日发布了此漏洞的补丁 《MS10-049:SChannel 中的漏洞可能允许远程代码执行》 ,凡是允许自动升级的系统都会自动修复此漏洞,使得系统能支持新的TLS/SSL协议扩展项,即支持Secure Renegotiation (安全重新协商)。Apache服务器软件也提供相应的补丁。
但是,经我公司技术专家检查,我国有许多部署了SSL证书的重要网站(如:支付宝)都没有关闭不安全的传统SSL通信重新协商机制,更谈不上补漏支持安全协商机制了。而使用Windows Server IIS服务器的网站一般都已经自动升级为支持安全重新协商协议(如果已经开启自动升级的话)。为了保证网上交易安全,笔者在此呼吁所有部署了SSL证书的网站,无论是部署的什么品牌SSL证书都必须尽快关闭不安全的重新协商协议,并升级服务器系统支持安全的重新协商协议。
为了让大家能直观简单明了地检查网站是否已经关闭不安全的重新协商协议,我公司已经组织研发工程师加紧时间开发了“SSL证书免费健康体检系统”,可以让你对部署了SSL证书的网站来做一次全面体检,确保你的网站系统部署的SSL证书能真正保障网站的在线交易安全和机密信息安全。
发现这一漏洞之后,Ray和Dispensa很快将其报告给了网络安全产业联盟(ICASI),该联盟由微软、诺基亚、思科、IBM、英特尔和Juniper创立。同时他们还将其报告给了互联网工程任务组(IETF)以及几家开源的SSL项目组织。9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。
微软于2010年2月11日发布了第977377号安全公告《 Microsoft 安全公告:TLS/SSL 中的漏洞可能允许欺骗 》,要求用户在受影响的系统上采用禁用TLS和SSL重新协商支持的替代方法,以帮助保护连接到此类服务器的客户端以免被该漏洞所利用。同时,IETF于2010年2月发布了新的协议扩展版RFC 5746《 Transport Layer Security (TLS) Renegotiation Indication Extension ,TLS重新协商标识扩展》。各大软件厂商也纷纷陆续推出了支持此扩展协议的补丁,微软于8月16日发布了此漏洞的补丁 《MS10-049:SChannel 中的漏洞可能允许远程代码执行》 ,凡是允许自动升级的系统都会自动修复此漏洞,使得系统能支持新的TLS/SSL协议扩展项,即支持Secure Renegotiation (安全重新协商)。Apache服务器软件也提供相应的补丁。
但是,经我公司技术专家检查,我国有许多部署了SSL证书的重要网站(如:支付宝)都没有关闭不安全的传统SSL通信重新协商机制,更谈不上补漏支持安全协商机制了。而使用Windows Server IIS服务器的网站一般都已经自动升级为支持安全重新协商协议(如果已经开启自动升级的话)。为了保证网上交易安全,笔者在此呼吁所有部署了SSL证书的网站,无论是部署的什么品牌SSL证书都必须尽快关闭不安全的重新协商协议,并升级服务器系统支持安全的重新协商协议。
为了让大家能直观简单明了地检查网站是否已经关闭不安全的重新协商协议,我公司已经组织研发工程师加紧时间开发了“SSL证书免费健康体检系统”,可以让你对部署了SSL证书的网站来做一次全面体检,确保你的网站系统部署的SSL证书能真正保障网站的在线交易安全和机密信息安全。
相关文章推荐
- 干货|白话SSL/TLS默认重协商漏洞原理与安全重协商对抗机制
- Java 6 发现安全漏洞,建议尽快升级到 7
- 社交陷阱 好奇心是最大的安全漏洞
- 微软爆出2008年最大安全漏洞
- 当Android遇到HTTP HTTPS的SSL安全机制
- Bash 惊现年度最大安全漏洞!
- [典型漏洞分享]YS忘记密码机制设计存在缺陷,导致任意用户口令均可被修改【高】
- 中国最大的商业企业集团 - 苏宁电器部署 WoSign 品牌 SSL 证书保网上商城安全
- 微软爆出2008年最大安全漏洞
- G Data为用户提供微软安全漏洞解决方案
- Python‘ssl.match_hostname()’函数SSL证书验证安全绕过漏洞
- SSL 证书普及 2048 位密钥,GlobalSign 早已升级
- 用户登录记住密码功能(记住登陆状态),下次不需要重新登录,注意安全问题!实现原理
- 火狐 Firefox https 访问时出现安全连接失败提示: 在服务器密钥交换握手信息中 SSL 收到了一个弱临时 Diffie-Hellman 密钥 解决办法
- 漏洞分析---gotofail:苹果 SSL/TLS 重大安全漏洞的细节
- 2014年Linux最大安全漏洞Bash Bug(Shellshock)解决办法
- 京东12G用户数据外泄,京东官方承认:源于2013年安全漏洞
- CKEditor/CKFinder升级心得(转) 漏洞安全设置
- 服务器SSL不安全漏洞修复方案
- OpenSSL爆出本年度最严重的安全漏洞heartbleed,微信第三方开发平台应第一时间升级OpenSSL