TLS 1.2协议现漏洞,近3000网站或受影响

栏目: 编程工具 · 发布时间: 5年前

雷锋网2月12日消息,Citrix发现SSL 3.0协议的后续版本TLS 1.2协议存在漏洞,该漏洞允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Tripwire漏洞挖掘研究小组的计算机安全研究员克雷格•杨(Craig Yang)称:“TLS 1.2存在漏洞的原因主要是由于其继续支持一种过时已久的加密方法:密码块链接(cipher block-chaining, CBC),该漏洞允许类似SSL POODLE的攻击行为。此外,该漏洞允许中间人攻击(简称:MITM攻击)用户的加密Web和VPN会话。”

TLS 1.2协议现漏洞,近3000网站或受影响

受到漏洞影响的供应商之一是Citrix,它也是第一个发布该漏洞补丁的厂商(CVE-2019-6485)。Citrix方面称,该漏洞可能允许攻击者滥用Citrix的交付控制器(ADC)网络设备来解密TLS流量。

Citrix相关负责人称:“Citrix产品的安全性是至关重要的,我们非常重视所有潜在的漏洞。为了防止POODLE攻击事件的再次发生,我们已经应用了适当的补丁来缓解这个问题。此外,我们也建议客户采取必要的行动来保护他们正在使用的平台。”

Yang将这两个新漏洞命名为“Zombie POODLE”和“ GOLDENDOODLE(CVE)”。Citrix已经针对这两个漏洞对负载平衡器进行了修复,期间他们发现这些系统并没有完全抛弃过时的加密方法,这也是这次让该厂商陷入漏洞危机的最大原因之一。

Yang拒绝透露目前使用TLS 1.2协议的其他厂商,但他认为这些产品会获取Web应用程序防火墙、负载平衡器权限和远程访问SSL vpn,一旦遇到上述漏洞会造成十分严重的隐私泄露问题。

但是,Yang警告称GOLDENDOODLE具有更强大和快速的密码破解性能,即使供应商已经完全消除了最初的POODLE缺陷,它仍然可能受到此类攻击。因为这两个新的漏洞基于5年前在旧的SSL 3.0加密协议中发现并修补的一个主要设计缺陷。

根据Yang的在线扫描结果,在Alexa排名前100万的网站中,约有2000个网站易受Zombie POODLE的攻击,约1000个网站易受GOLDENDOODLE的攻击,还有数百个网站仍易受五年前就被曝出的旧漏洞POODLE的攻击。

“这个问题应该在四五年前就得到解决,”Yang称,一些供应商要么没有完全消除对老密码和不太安全的密码支持,要么没有完全修补POODLE攻击本身的缺陷。例如,Citrix并没有完全修补原来的POODLE攻击,这为下一代POODLE攻击留下了空间。

当然,核心问题是HTTPS的底层协议(首先是SSL,现在是TLS)没有正确地清除过时且不太安全的旧加密方法。对这些较旧协议的支持(主要是为了确保较旧的遗留浏览器和客户机不会被网站锁定)也会使网站变得脆弱。

雷锋网 (公众号:雷锋网) 得知,Zombie POODLE和GOLDENDOODLE(CVE)漏洞允许攻击者重新排列加密的数据块,并通过一个侧边通道查看明文信息。

攻击是这样进行的:例如,攻击者通过植入用户访问的非加密网站上的代码,将恶意JavaScript注入受害者的浏览器。一旦浏览器被感染,攻击者可以执行MITM攻击,最终从安全的Web会话中获取受害者的cookie和凭证。

来源:darkreading

雷锋网原创文章,未经授权禁止转载。详情见 转载须知


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

JavaScript实战

JavaScript实战

Frank W. Zammetti / 张皛珏 / 人民邮电出版社 / 2009-8 / 59.00元

随着Ajax的兴起,JavaScript迅速地从改进网站的配角晋升为开发专业级高质量应用的主角,成为了Web开发中不可缺少的一员。 本书主要通过10个具体项目,包括构建可扩展的JavaScript库、使用GUI窗口小部件框架、开发支持拖放的购物车和编写JavaScript游戏等,讲述JavaScript最佳实践、Ajax技术,以及一些流行的JavaScript库,如Rico、Dojo、scr......一起来看看 《JavaScript实战》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具