TLS 1.2 协议现漏洞，多个网站受影响

TLS 1.2 协议被发现存在漏洞，该漏洞允许攻击者滥用 Citrix 的交付控制器（ADC）网络设备来解密 TLS 流量。“TLS 1.2 存在漏洞的原因，主要是由于其继续支持一种过时已久的加密方法——密码块链接（cipher block-chaining, CBC）。”漏洞挖掘研究小组的计算机安全研究员称。研究员将这两个被发现的漏洞命名为 Zombie POODLE 和GOLDENDOODLE（CVE）。

另外，漏洞还允许中间人攻击（Man-in-the-MiddleAttack）用户加密的 Web 和 Vpn 会话。根据该安全研究员的网站在线扫描结果，在 Alexa 排名前100万的网站中，约有2000个易受 Zombie POODLE 的攻击，1000个网站易受 GOLDENDOODLE 的攻击。

此次攻击所需条件：

1. HTTPS 服务端使用了 CBC 密码套件；

2. 在被攻击客户端和被攻击服务器之间创建中间人通道 MITM，如建立恶意 WiFi 热点，或者劫持路由器等中间网络设备；

3. 攻击者通过植入用户访问的非加密上的代码，将恶意 JavaScript 注入受害者的浏览器；

4. 恶意脚本构造特定的 HTTPS 请求加密网站，结合中间人旁路监听加密数据，多次请求后即可获得加密数据中的 Cookie 和凭证。

可以如何防范与应对

1. 确保全站 HTTPS 完整性，杜绝引入不安全的外链（HTTP 脚本资源，尤其是 JavaScript 脚本） ，可以通过一些 SSL 站点安全检测服务（如 MySSL 企业版）进行不安全外链监控；

2. 检查服务器，避免使用 RC4 和 CBC 等不安全密码套件，可以通过 MySSL.com 检测，发现支持的加密套件中避免出现弱密码和包含 CBC 的密码套件；

3. 涉及机密或者重要商业数据的系统加强异常状况监测和巡查，并保持符合 HTTPS 最佳安全实践。

参考： darkreading ， nccgroup ， cnBeta