Google发布SSLv3漏洞简要分析报告

今天上午，Google发布了一份关于SSLv3漏洞的简要分析报告。根据Google的说法，该漏洞贯穿于所有的SSLv3版本中，利用该漏洞，黑客可以通过中间人攻击等类似的方式(只要劫持到的数据加密两端均使用SSL3.0)，便可以成功获取到传输数据(例如cookies)。截止到发文前，还没有任何补丁放出来。

对此Google表示，他们只能给出一个无奈的建议：关闭客户端SSLv3支持或者服务器SSLv3支持或者两者全部关闭。

另外，Google已经明确表态将在接下来的数月中，逐步从其服务中撤销掉SSLv3的支持。

 

SSL 3.0虽然已经将近15年了，但是基本所有的浏览器都支持该协议。服务器方面，有消息称，全球TOP100万的网站，超过99%站点使用了SSLv3

为了保持兼容性，当浏览器进行HTTPS连接失败的时候，将会尝试旧的协议版本，包括SSL 3.0。 

攻击者可以利用这个特性强制浏览器使用SSL 3.0，从而进行攻击。 攻击者可利用该漏洞获取安全连接当中的明文内容。

解决该问题可以禁用SSL3.0，或SSL3.0中的CBC模式加密，但是有可能造成兼容性问题。 

建议支持TLS_FALLBACK_SCSV，这可以解决重试连接失败的问题，从而防止攻击者强制浏览器使用SSL3.0。 

它还可以防止降级到TLS1.2至1.1或1.0，可能有助于防止未来的攻击。 

该漏洞的分析细节见： 

https://www.imperialviolet.org/2014/10/14/poodle.html 

（ps: 此漏洞属于中间人攻击，非心脏出血类漏洞）

 

 

修复建议：

所有支持SSLV3协议的软件都受这个漏洞影响，可以通过如下的工具来检查是否支持sslv3协议
http://sourceforge.net/projects/sslscan/
https://www.ssllabs.com/ssltest/analyze.html?d=boc.com&ignoreMismatch=on

在线检测页面 

服务器端：https://www.ssllabs.com/ssltest/

客户端（浏览器）：https://sslv3.dshield.org:444/index.html

若受影响，对于系统管理员 可以配置服务器暂时不支持sslv3协议，可以参见这里进行配置
https://www.ssllabs.com/downloads/SSL_TLS_Deployment_Best_Practices_1.3.pdf

apache、ngnix 禁用sslv3
https://wiki.mozilla.org/Security/Server_Side_TLS

普通用于可以暂时配置浏览器停用SSLV3协议，具体可以参见
http://blog.yjl.im/2013/12/disabling-tlsssl-rc4-in-firefox-and.html