POODLE SSLv3

我是人 · 发表于 2014-10-15 20:35:20

本帖最后由我是人于 2014-10-15 21:14 编辑

母鸡带小鸡。。。
有在用SSLv3的赶快去灭掉它。。。
要不然后果很严重。

https://access.redhat.com/articles/1232123
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

用WHM/cPanel的鸡贩们。。。

在等补丁出现的当儿，先把预设的加个-SSLv3暂时顶一下吧。

Service Configuration > Apache Configuration > Global Configuration > SSL Cipher Suite

whm01.png (23.31 KB, 下载次数: 0)

whm02.png (15.59 KB, 下载次数: 0)

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP:!kEDH

复制代码

Service Configuration > Mailserver Configuration > SSL Cipher List

whm03.png (56.9 KB, 下载次数: 0)

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP

ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:-LOW:-SSLv2:-SSLv3:-EXP

复制代码

欧阳逍遥 · 发表于 2014-10-15 20:37:37

SSL v3爆出漏洞，攻击者可利用该漏洞获取安全连接当中的明文内容。

SSL 3.0虽然已经将近15年了，但是基本所有的浏览器都支持该协议。

为了保持兼容性，当浏览器进行HTTPS连接失败的时候，将会尝试旧的协议版本，包括SSL 3.0。

攻击者可以利用这个特性强制浏览器使用SSL 3.0，从而进行攻击。

解决该问题可以禁用SSL3.0，或SSL3.0中的CBC模式加密，但是有可能造成兼容性问题。

建议支持TLS_FALLBACK_SCSV，这可以解决重试连接失败的问题，从而防止攻击者强制浏览器使用SSL3.0。

它还可以防止降级到TLS1.2至1.1或1.0，可能有助于防止未来的攻击。

该漏洞的分析细节见：

https://www.imperialviolet.org/2014/10/14/poodle.html

woaijay987 · 发表于 2014-10-15 20:41:36

咩咩神话

gamecreating · 发表于 2014-10-15 20:53:44

提示: 作者被禁止或删除内容自动屏蔽

分享吧 · 发表于 2014-10-15 20:55:09

腾讯云云安全监控到SSLv3被曝出存在协议漏洞：“通过此漏洞可以窃取客户端与server端使用SSLv3加密通信的明文内容，危害严重”，目前官方暂无升级修复补丁和攻击利用方式公布，最佳建议：“禁止使用SSLv3协议”，请了解。

李毅 · 发表于 2014-10-15 20:56:42

opelnic · 发表于 2014-10-15 23:51:55

要死了要死了，抓taobao去。

flyfish · 发表于 2014-10-15 23:56:29

咩咩咩咩咩

yohu · 发表于 2014-10-16 00:43:34

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

复制代码

nginx指定协议也可以吧，这样就用不到sslv3了。

雨宫音羽 · 发表于 2014-10-16 01:33:48

蛋疼了。。

SSLv3差不多是兼容IE6的唯一办法了

		自动登录	找回密码
密码			注册

gamecreating gamecreating 当前离线积分 3566	4^# 发表于 2014-10-15 20:53:44 \| 只看该作者提示: 作者被禁止或删除内容自动屏蔽
gamecreating gamecreating 当前离线积分 3566
	回复支持反对举报

POODLE SSLv3

评分

点评

浏览过的版块