SSL 3.0 安全漏洞修复方法
2014-10-15 14:37
417 查看
谷歌今天披露了一个存在于 SSL 3.0 版本当中的安全漏洞。
详细信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf
什么是SSL3.0 Poodle漏洞?
SSL协议由美国 NetScape公司开发的, 1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。通常用户的浏览器都使用新版本的安全协议与服务器进行连接,为了保持兼容性,当浏览器安全协议连接失败的时候,就会转而尝试老版本的安全协议进行连接,其中就包括SSL 3.0。
Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用 SSL 3.0,然后使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。
![](http://wx.wosign.com/wp-content/uploads/2014/10/ssll3.0.jpg)
如何防范SSL3.0-Poodle漏洞?
建议您手动关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭,即可有效防范Poodle漏洞对您造成的影响。
关闭服务器SSLv3支持:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
关闭客户端SSLv3支持:
Windows 用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 –ssl-version-min=tls1
Mac OS X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome –ssl-version-min=tls1
Linux 用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
Firefox 浏览器用户可以进入关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
设置方法引用自http://www.wosign.com/news/SSLv3-Poodle.htm
详细信息请访问: https://www.openssl.org/~bodo/ssl-poodle.pdf
什么是SSL3.0 Poodle漏洞?
SSL协议由美国 NetScape公司开发的, 1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。通常用户的浏览器都使用新版本的安全协议与服务器进行连接,为了保持兼容性,当浏览器安全协议连接失败的时候,就会转而尝试老版本的安全协议进行连接,其中就包括SSL 3.0。
Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用 SSL 3.0,然后使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。
![](http://wx.wosign.com/wp-content/uploads/2014/10/ssll3.0.jpg)
如何防范SSL3.0-Poodle漏洞?
建议您手动关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭,即可有效防范Poodle漏洞对您造成的影响。
关闭服务器SSLv3支持:
Nginx:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers on;
ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;
ssl_session_timeout 5m;
ssl_session_cache builtin:1000 shared:SSL:10m;
Apache:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256
SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE
RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS
关闭客户端SSLv3支持:
Windows 用户:
1)完全关闭 Chrome 浏览器
2)复制一个平时打开 Chrome 浏览器的快捷方式
3)在新的快捷方式上右键点击,进入属性
4)在「目标」后面的空格中字段的末尾输入以下命令 –ssl-version-min=tls1
Mac OS X 用户:
1)完全关闭 Chrome 浏览器
2)找到本机自带的终端(Terminal)
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome –ssl-version-min=tls1
Linux 用户:
1)完全关闭 Chrome 浏览器
2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1
Firefox 浏览器用户可以进入关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。
设置方法引用自http://www.wosign.com/news/SSLv3-Poodle.htm
相关文章推荐
- SSL 3.0 安全漏洞修复方法
- SSL 3.0 Poodle漏洞修复方法
- SSL 3.0 Poodle漏洞修复方法
- Apache安全加固--修复SSL/TLS弱密码漏洞(中危)和禁用TRACE/TRACK方法(高危)
- SSL 3.0 Poodle漏洞修复方法
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- 【安全牛学习笔记】存储型XSS漏洞原理及修复方法
- 服务器SSL不安全漏洞修复方案
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- 检查Linux Bash安全漏洞以及各环境修复解决方法
- Linux Glibc库安全漏洞检测方法和修复方案
- Firefox 34:SSLv3安全漏洞修复,全新的HTML5实现
- 【AppScan深入浅出】修复漏洞:启用不安全的HTTP方法 (中)
- Linux 曝出重大bash安全漏洞及修复方法
- AppScan修复漏洞:启用不安全的HTTP方法
- linux_曝出重大bash安全漏洞及修复方法
- SSL/TLS Suffers ‘Bar Mitzvah Attack’漏洞检测方法及修复建议
- linux glibc 安全漏洞 CVE-2015-7547 修复与检测方法
- Linux Bash安全漏洞以及各环境修复解决方法
- 关于阿里云ECS Centos 5/6/7 Linux Glibc库严重安全漏洞修复方法