OODLE即Padding Oracle On Downgraded Legacy Encryption.是安全漏洞(CVE-2014-3566)的代號,俗稱“貴賓犬”漏洞。 此漏洞是針對SSL3.0中CBC模式加密算法的一種padding oracle攻擊,可以讓攻擊者獲取SSL通信中的部分信息明文,如果將明文中的重要部分獲取了,比如cookie,session,則信息的安全出現了隱患。從本質上說,這是SSL設計上的缺陷,SSL先認證再加密是不安全的。
不同安全級別的安全,對於站點安全評價起重要的作用。
如何檢測漏洞?
檢測漏洞可通過在線檢測工具SSL Server Test來進行檢測。可以訪問myssl官網進行快速檢測:
https://myssl.com/
或者藉助第三方插件評價,如下圖即chrome之myssl插件工具:
修復漏洞措施:
禁用sslv3協議,不同的web server不盡相同。這邊列舉主流的服務器的禁用方式
Nginx服務器:
apache服務器:
IIS服務器:可以藉助第三方套件工具,如:IISCrypto工具。
根據圖示進行選擇,修改完成後重啟服務器。
Tomcat服務器:JDK版本過低也會帶來不安全漏洞,請升級JDK為版本。升級JDK風險請安按照系統升級風險酌情考慮。
使用apr的tomcat
對於其他平臺的修復方式 可以參考其官方文檔。
注意事項:Windows XP 系統下的 IE6 或以IE6作為內核的瀏覽器,默認不支持 SSL3.0以上的 加密協議。
若服務端關閉SSL3.0協議,需在此類客戶端啟用TLS 協議。
分享到:
閱讀更多 佐阿衡 的文章
