亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2014-0030

10月15日，CNVD收錄了SSL V3協(xié)議存在的一個可導致信息泄露的高危漏洞（CNVD-2014-06718,對應CVE-2014-3566）。攻擊者用來發(fā)起遠程攻擊，竊取采用了sslv3加密通信過程中的內容，構成信息泄露安全風險，目前廠商暫時沒有提供升級補丁。

一、漏洞情況分析

SSL V3是一項傳輸層安全協(xié)議，主要用于網(wǎng)站、郵件服務器等相關應用服務的網(wǎng)絡安全傳輸。近日，SSL V3協(xié)議被披露存在安全漏洞，攻擊者可以利用此漏洞發(fā)起中間人欺騙攻擊，當通信兩端的用戶主機均使用SSL V3進行安全傳輸時，可發(fā)起攻擊竊取敏感信息。SSL V3協(xié)議最早啟用于1996年，目前已被TLS 1.0，TLS 1.1，TLS 1.2等高級協(xié)議代替，同時由于兼容性原因，大多數(shù)的TLS協(xié)議實現(xiàn)兼容SSL V3。用戶瀏覽器在與服務器端的TLS握手階段進行版本協(xié)商的時候，首先提供其所支持協(xié)議的最新版本，若該握手失敗，則嘗試以較舊的協(xié)議版本協(xié)商，即降級協(xié)商。根據(jù)分析，受漏洞影響的除了SSL V3本身外，還包括采用TLS 1.0和TLS 1.2等協(xié)議組件的客戶端產品。CNVD對該漏洞的綜合評級為“高危”。?

漏洞存在于SSL V3的CBC塊加密漏洞，攻擊者可成功破解SSL連接的加密信息。進一步分析表明，攻擊者很有可能會通過控制客戶端和服務器之間的數(shù)據(jù)通信，使受影響版本瀏覽器與服務器端使用較新協(xié)議的協(xié)商建立失敗，從而導致直接應用SSL V3的降級通信協(xié)商，達成攻擊條件。

二、漏洞處置建議

1、軟件生產廠商暫時沒有提供升級補丁，同時請廣大用戶及時關注廠商官網(wǎng)及時下載更新。

2、建議用戶先檢測使用軟件是否支持SSLV3協(xié)議，并配置服務器暫時不支持sslv3協(xié)議，具體如下所示：

1）sslv3協(xié)議檢測工具如下：

http://sourceforge.net/projects/sslscan/

https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on

在線檢測頁面：https://sslv3.dshield.org:444/index.html

2）用戶可自配置服務器主機暫時不支持sslv3協(xié)議，可以參見如下鏈接進行配置：

https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf

同時，終端用戶可配置瀏覽器停用SSLV3協(xié)議，具體可以參見如下鏈接：

http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html

注：CNVD成員單位綠盟科技、安天實驗室即分中心提供了漏洞分析文檔及部分研判支持。

參考鏈接：

1.https://www.openssl.org/~bodo/ssl-poodle.pdf

2.https://www.imperialviolet.org/2014/10/14/poodle.html