安全 SSLv3 的 POODLE 漏洞

chrisloong · 2014年10月15日 · 最后由 ili 回复于 2014年10月28日 · 15281 次阅读
本帖已被管理员设置为精华贴

Google 的员工在 SSLv3 的协议中,发现了一个漏洞,命名为POODLE。 可以利用这个漏洞,窃取用户经 HTTPS 传输的 Cookie 内容。这个漏洞是 SSLv3 的协议层缺陷导致,所以没有补丁包。

不过危害没有 Heartbleed 和 Shellshock 大。防患未然的话,就在 web server 中禁用 SSLv3。

在 Nginx 中的关闭 SSLv3 的配置:

#before: ssl_protocols SSLv3 TLSv1.2 TLSv1.1 TLSv1;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

检测方法:

$ openssl s_client -connect ruby-china.org:443 -ssl3

启用 SSLv3 的结果:

禁用 SSLv3 以后握手通信失败:

还好没用 ssl3

3 楼 已删除

@ChrisLoong 请问这个安全漏洞你是在哪里看到的?我看了 ubuntu 的 usn,结果里面没有,看起来需要加上这个信息源了。

#5 楼 @linjunhalida ycombinator,每日一刷,惊喜常在😄

最近漏洞特别多哈!

最近漏洞好多啊,而且都是高危漏洞。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号