OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代號,俗稱“貴賓犬”漏洞。 此漏洞是針對SSL3.0中CBC模式加密演算法的一種padding oracle攻擊,可以讓攻擊者獲取SSL通訊中的部分資訊明文,如果將明文中的重要部分獲取了,比如cookie,session,則資訊的安全出現了隱患。從本質上說,這是SSL設計上的缺陷,SSL先認證再加密是不安全的。
不同安全級別的安全,對於站點安全評價起重要的作用。
檢測漏洞可透過線上檢測工具SSL Server Test來進行檢測。可以訪問myssl官網進行快速檢測:
https://myssl.com/
或者藉助第三方外掛評價,如下圖即chrome之myssl外掛工具:
禁用sslv3協議,不同的web server不盡相同。這邊列舉主流的伺服器的禁用方式
Nginx伺服器:
apache伺服器:
IIS伺服器:可以藉助第三方套件工具,如:IISCrypto工具。
根據圖示進行選擇,修改完成後重啟伺服器。
Tomcat伺服器:JDK版本過低也會帶來不安全漏洞,請升級JDK為版本。升級JDK風險請安按照系統升級風險酌情考慮。
使用apr的tomcat
對於其他平臺的修復方式 可以參考其官方文件。
注意事項:Windows XP 系統下的 IE6 或以IE6作為核心的瀏覽器,預設不支援 SSL3.0以上的 加密協議。
若服務端關閉SSL3.0協議,需在此類客戶端啟用TLS 協議。
OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代號,俗稱“貴賓犬”漏洞。 此漏洞是針對SSL3.0中CBC模式加密演算法的一種padding oracle攻擊,可以讓攻擊者獲取SSL通訊中的部分資訊明文,如果將明文中的重要部分獲取了,比如cookie,session,則資訊的安全出現了隱患。從本質上說,這是SSL設計上的缺陷,SSL先認證再加密是不安全的。
不同安全級別的安全,對於站點安全評價起重要的作用。
如何檢測漏洞?檢測漏洞可透過線上檢測工具SSL Server Test來進行檢測。可以訪問myssl官網進行快速檢測:
https://myssl.com/
或者藉助第三方外掛評價,如下圖即chrome之myssl外掛工具:
修復漏洞措施:禁用sslv3協議,不同的web server不盡相同。這邊列舉主流的伺服器的禁用方式
Nginx伺服器:
apache伺服器:
IIS伺服器:可以藉助第三方套件工具,如:IISCrypto工具。
根據圖示進行選擇,修改完成後重啟伺服器。
Tomcat伺服器:JDK版本過低也會帶來不安全漏洞,請升級JDK為版本。升級JDK風險請安按照系統升級風險酌情考慮。
使用apr的tomcat
對於其他平臺的修復方式 可以參考其官方文件。
注意事項:Windows XP 系統下的 IE6 或以IE6作為核心的瀏覽器,預設不支援 SSL3.0以上的 加密協議。
若服務端關閉SSL3.0協議,需在此類客戶端啟用TLS 協議。