关于SSLV3Protocol存在高危漏洞处理措施(CVE-2014-3566).docx

关于SSL V3 Protocol存在高危漏洞处理措施10月15日披露的SSL V3协议存在的一个可导致信息泄露的高危漏洞（CNVD-2014-06718,对应CVE-2014-3566）。攻击者用来发起远程攻击，窃取采用了sslv3加密通信过程中的内容，构成信息泄露安全风险，目前厂商暂时没有提供升级补丁。1. 漏洞情况分析SSL V3是一项传输层安全协议，主要用于网站、邮件服务器等相关应用服务的网络安全传输。近日，SSL V3协议被披露存在安全漏洞，攻击者可以利用此漏洞发起中间人欺骗攻击，当通信两端的用户主机均使用SSL V3进行安全传输时，可发起攻击窃取敏感信息。SSL V3协议最早启用于1996年，目前已被TLS 1.0，TLS 1.1，TLS 1.2等高级协议代替，同时由于兼容性原因，大多数的TLS协议实现兼容SSL V3。用户浏览器在与服务器端的TLS握手阶段进行版本协商的时候，首先提供其所支持协议的最新版本，若该握手失败，则尝试以较旧的协议版本协商，即降级协商。根据分析，受漏洞影响的除了SSL V3本身外，还包括采用TLS 1.0和TLS 1.2等协议组件的客户端产品。CNVD对该漏洞的综合评级为“高危”。漏洞存在于SSL V3的CBC块加密漏洞，攻击者可成功破解SSL连接的加密信息。进一步分析表明，攻击者很有可能会通过控制客户端和服务器之间的数据通信，使受影响版本浏览器与服务器端使用较新协议的协商建立失败，从而导致直接应用SSL V3的降级通信协商，达成攻击条件。2. 漏洞处置建议1、软件生产厂商暂时没有提供升级补丁，同时请关注集团信息管理部以及厂商官网一旦发布补丁，请立即更新。2、建议用户先检测使用软件是否支持SSLV3协议，并配置服务器暂时不支持sslv3协议，具体如下所示。3. 紧急处理方式目前解决该问题可以禁用SSL3.0，或者SSL3.0中使用的CBC模式加密，但是有可能造成兼容性问题。建议支持 TLS_FALLBACK_SCSV，这可以解决重试连接失败的问题，从而防止攻击者强制浏览器使用SSL3.0。 它还可以防止降级到TLS1.2至1.1或1.0，可能有助于防止未来的攻击。a) windows用户可以暂时配置浏览器停用SSLV3.0协议，参见具体如下 IE浏览器1）打开IE浏览器2）点击浏览器右上角的“工具”选项，选择“Internet选项”3）选择“高级”4）找到“使用SSL3.0”的设置，将方框里的“勾”去掉5）点击“确定”保存. Firefox浏览器 Chrome浏览器1）完全关闭 Chrome 浏览器2）复制一个平时打开 Chrome 浏览器的快捷方式3）在新的快捷方式上右键点击，进入属性4）在目标后面的空格中字段的末尾输入以下命令 -ssl-version-min=tls1b) Mac OS X 用户1）完全关闭 Chrome 浏览器2）找到本机自带的终端（Terminal）3）输入以下命令：/Applications/Google Chrome.app/Contents/MacOS/Google Chrome -ssl-version-min=tls1c) Linux 用户 火狐浏览器Firefox 浏览器用户可以进入 关于:设置，方法是在地址栏输入 about:config，然后将 security.tls.version.min 调至 1。 Chrome浏览器：1）编辑/usr/share/applications/google-chrome.desktop文件2）编辑所有Exec=的行，并在后 面 加入-ssl-version-min=tls1比如：将Exec=/usr/bin/google-chrome-stable %U修改为：Exec=/usr/bin/google-chrome-stable -ssl-version-min=tls1 %U3）最后重启您的Chrome浏览器d) 服务器 (1).Apache(2).Nginx4. 附录1）sslv3协议检测工具如下：/projects/sslscan//ssltest/analyze.html?d=&ignoreMismatch=on在线检测页面：:444/index.html2）用户可自配置服务器主机暂时不支持sslv3协议，可以参见如下链接进行配置：/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf同时，终端用户可配置浏览器停用SSLV3协议，具体可以参见如下链接：ht