安全 SSLv3 的 POODLE 漏洞

chrisloong · October 15, 2014 · Last by ili replied at October 28, 2014 · 15234 hits

Topic has been selected as the excellent topic by the admin.

Google 的员工在 SSLv3 的协议中，发现了一个漏洞，命名为POODLE。可以利用这个漏洞，窃取用户经 HTTPS 传输的 Cookie 内容。这个漏洞是 SSLv3 的协议层缺陷导致，所以没有补丁包。

不过危害没有 Heartbleed 和 Shellshock 大。防患未然的话，就在 web server 中禁用 SSLv3。

在 Nginx 中的关闭 SSLv3 的配置：

#before: ssl_protocols SSLv3 TLSv1.2 TLSv1.1 TLSv1;
ssl_protocols TLSv1.2 TLSv1.1 TLSv1;

检测方法：

$ openssl s_client -connect ruby-china.org:443 -ssl3

启用 SSLv3 的结果：

禁用 SSLv3 以后握手通信失败：

4 likes

Rei #1 October 16, 2014

刚禁用了 SSLv3。

hardywu #2 October 16, 2014

还好没用 ssl3

3 Floor has deleted

lgn21st #4 October 16, 2014

linjunhalida #5 October 17, 2014

@ChrisLoong 请问这个安全漏洞你是在哪里看到的？我看了 ubuntu 的 usn，结果里面没有，看起来需要加上这个信息源了。

chrisloong #6 October 17, 2014

#5 楼 @linjunhalida ycombinator，每日一刷，惊喜常在。

colorfulberry #7 October 17, 2014

最近漏洞特别多哈！

wosuopu #8 October 17, 2014

最近漏洞好多啊，而且都是高危漏洞。

ili #9 October 28, 2014

漏洞

You need to Sign in before reply, if you don't have an account, please Sign up first.