V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dearrrfish
V2EX  ›  信息安全

又一波 Patch 到手软的节奏?SSLv3 Vulnerability

  •  
  •   dearrrfish · 2014-10-15 07:06:45 +08:00 · 4635 次点击
    这是一个创建于 3693 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2014-10-15 08:37:13 +08:00
    第 2 条附言  ·  2014-10-16 01:01:13 +08:00
    细节论文:https://www.openssl.org/~bodo/ssl-poodle.pdf
    AWS 公告:https://aws.amazon.com/security/security-bulletins/CVE-2014-3566-advisory/

    SSL安全站点检测:https://www.ssllabs.com/ssltest/analyze.html
    14 条回复    2014-10-16 01:01:48 +08:00
    wzxjohn
        1
    wzxjohn  
       2014-10-15 08:23:15 +08:00
    目测这不是简单Patch能解决的问题啊。。。
    In the coming months, we hope to remove support for SSL 3.0 completely from our client products.
    这话都说出来了。。。
    dearrrfish
        2
    dearrrfish  
    OP
       2014-10-15 08:32:55 +08:00
    dearrrfish
        3
    dearrrfish  
    OP
       2014-10-15 08:34:49 +08:00
    我标题说 Patch 不准确,应该是服务器设置的更新和客户端(浏览器)的更新吧。
    sanddudu
        4
    sanddudu  
       2014-10-15 09:23:10 +08:00 via iPhone
    @dearrrfish SSL 已死 TLS 永生 XD
    auser
        5
    auser  
       2014-10-15 09:30:04 +08:00
    TLS1.2 应该成为标配
    SSLv1 v2 v3早该淘汰了
    est
        6
    est  
       2014-10-15 09:34:34 +08:00
    @auser TLS1.2 也危险了。哈哈哈哈。
    wdlth
        7
    wdlth  
       2014-10-15 09:47:11 +08:00
    Google又作恶了,NSA要责令其停业整顿了。
    janxin
        8
    janxin  
       2014-10-15 10:22:18 +08:00
    @auser TLS v1.2也是Android4.1才开始支持的,要是TLS v1.2强制标配,Android要挂不少,除非客户端自己实现TLS v1.2。
    AstroProfundis
        9
    AstroProfundis  
       2014-10-15 10:23:38 +08:00
    已禁用 SSLv3 感谢提醒
    hjc4869
        10
    hjc4869  
       2014-10-15 10:51:57 +08:00 via iPhone
    我服务器一直是TLS 1.0 1.1 1.2应该没受影响。。
    Akiyori
        11
    Akiyori  
       2014-10-15 11:00:48 +08:00
    Fastly的邮件

    ..we are disabling SSLv3 for all Fastly SSL customers, effective immediately..mainly
    affect users of Windows XP Pre-service pack 3 combined with IE version 6..
    auser
        12
    auser  
       2014-10-15 14:14:49 +08:00 via Android
    @janxin



    谢谢告知
    mengzhuo
        13
    mengzhuo  
       2014-10-15 17:50:49 +08:00
    细节论文
    https://www.openssl.org/~bodo/ssl-poodle.pdf

    粗略地看了看论文,中间人攻击+重复请求服务器就可以获得用户的Cookie等敏感信息。
    服务器只有禁用SSLv3,不允许降级处理才行。。。

    If SSL 3.0 is neither disabled nor the only possible protocol
    version, then the attack is possible if the client uses a downgrade dance for
    interoperability.
    dearrrfish
        14
    dearrrfish  
    OP
       2014-10-16 01:01:48 +08:00
    已手软,好多 dev tool script 要更新
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1036 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 23:06 · PVG 07:06 · LAX 15:06 · JFK 18:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.