亚洲中文字幕无码久久2017,久久AV无码精品人妻系列,国产男女无遮挡猛进猛出,亚洲s码欧洲m码国产AV

安全公告編號:CNTA-2015-0007

國家信息安全漏洞共享平臺（CNVD）收錄了一個SSL/TLS協(xié)議使用的加密算法RC4存在的漏洞（受戒禮）（CNVD-2015-02171）。通過“受戒禮”攻擊，攻擊者可以在特定環(huán)境下只通過嗅探監(jiān)聽就可以還原采用RC4保護的加密信息中的純文本，導(dǎo)致賬戶、密碼、信用卡信息等重要敏感信息泄露，并且可以通過中間人攻擊（Man-in-the-middle）進行會話劫持。

一、漏洞情況分析

SSL（Secure SocketsLayer，安全套接層）及TLS（TransportLayer Security，傳輸層安全）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密，是一個被廣泛使用的加密協(xié)議。而“受戒禮”攻擊能夠竊取通過SSL和TLS協(xié)議傳輸?shù)臋C密數(shù)據(jù)，諸如銀行卡號碼，密碼和其他敏感信息。這種攻擊利用了RC4加密算法中的一個長達13年的漏洞，據(jù)統(tǒng)計，互聯(lián)網(wǎng)上30%的TLS流量加密使用的都是RC4算法。

漏洞的成因主要在于不變性弱密鑰是RC4密鑰中的一個L型的圖形，它一旦存在于RC4的密鑰中，在整個初始化的過程之中將保持狀態(tài)轉(zhuǎn)換的完整性。這個完整的部分包括置換過程中的最低有效位，在由RPGA算法處理的時候，決定偽隨機輸出流的最低有效位。這些偏差的流字節(jié)和明文進行過異或，導(dǎo)致密文中會泄露重要明文信息。

CNVD對該漏洞的技術(shù)評級為“高危”。

二、漏洞影響范圍

使用了RC4算法的SSL/TLS協(xié)議

三、漏洞修復(fù)建議

CNVD建議采取如下措施進行防范：

（一）建議Web應(yīng)用管理員在應(yīng)用TLS配置中禁止RC4

（二）建議Web用戶(特別是超級用戶組)在瀏覽器TLS配置中禁止RC4

（三）建議瀏覽器廠家可以考慮移除RC4的支持

參考鏈接：

http://thehackernews.com/2015/03/rc4-ssl-tls-security.html

http://www.freebuf.com/articles/network/62442.html

http://www.cnvd.org.cn/flaw/show/CNVD-2015-02171