感谢ikimi的投递
2014年一个主要的设计缺陷在旧的SSL 3.0加密协议中发现并修补,该协议暴露了所谓的POODLE攻击的安全会话,并没有真正消亡:一位研究人员在新的TLS中发现了两个新的相关漏洞1.2加密协议。研究人员Craig Young将在今年3月在新加坡的 Black Hat Asia 会议上详细介绍他的发现,目前拒绝透露正在开发补丁的其他供应商,但他表示,这些产品包括Web应用防火墙,负载平衡器和远程访问SSL VPN。
Craig Young 已将两个新的缺陷命名为 Zombie POODLE 和GOLDENDOODLE(CVE)。使用Zombie POODLE,他能够在Citrix负载均衡器中恢复POODLE攻击,并对一些尚未完全根除过时加密方法的系统上的POODLE攻击进行微调。与此同时,GOLDENDOODLE是一种类似的攻击,但具有更强大,更快速的加密黑客攻击性能。Young警告说,即使供应商完全消除了原有的POODLE缺陷,它仍然可能容易受到GOLDENDOODLE攻击。
此攻击所需条件:
1、HTTPS服务端使用了CBC密码套件;
2、在被攻击客户端和被攻击 服务器 之间创建中间人通道MITM,如建立恶意WiFi热点,或者劫持路由器等中间网络设备;
3、攻击者通过植入用户访问的非加密 网站 上的代码,将恶意JavaScript注入受害者的浏览器;
4、恶意脚本构造特定的HTTPS请求加密网站,结合中间人旁路监听加密数据,多次请求后即可获得加密数据中的Cookie和凭证。
如何防范与应对?
1、确保全站HTTPS完整性,杜绝引入不安全的外链(HTTP脚本资源,尤其是JavaScript脚本) ,可以通过一些SSL站点安全检测服务(如MySSL企业版)进行不安全外链监控;
2、检查服务器,避免使用RC4和CBC等不安全密码套件,通过MySSL.com检测,发现支持的加密套件中避免出现弱密码和包含CBC的密码套件;
3、涉及机密或者重要商业数据的系统加强异常状况监测和巡查,并保持符合HTTPS最佳安全实践。
以上所述就是小编给大家介绍的《TLS 1.2 协议现漏洞 New Zombie 'POODLE' Attack 应对建议》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- K8S新安全漏洞的应对之策:API Server拒绝服务漏洞
- Kubernetes仪表盘和外部IP代理漏洞及应对之策
- runc容器逃逸漏洞最强后续:应对之策汇总与热点疑问解答
- 应对 “高并发” 的思路
- 怎样应对缓存穿透?
- 遗留代码的成本与应对
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
