原文链接:https://community.qualys.com/blogs/securitylabs/2014/12/08/poodle-bites-tls
原文发表时间:2014.12.8
今天新发布的一个SSL/TLS问题可能会影响一些最流行的web站点,广泛使用的F5负载均衡设备也受到影响。已知有其他一些设备也受到了影响,可能一些SSL/TLS协议栈也受到了影响,我们在接下来的日子里会持续关注。
如果你不想阅读本文,可以这么做:1)使用SSL Labs对你的站点进行测试;2)如果存在脆弱性,打上你服务商提供的补丁包。这个问题很容易修复。
今天发布的攻击其实就是两个月(10月份)前发布的POODLE攻击,只不过转而攻击TLS。如果你还有印象,SSL 3对padding没有要求任何特定格式(除了最后1byte,长度部分),这将它自身向主动的网络攻击者进行了开放。然而,及时TLs对padding的格式进行了非常严格的限制,一些TLS的实现在解密后遗漏了对padding结构的检测。这种实现也容易遭受PODDLE攻击,即使是TLS。
这个问题的影响同PODDLE类似,但是更容易发起一些,因为它不需要首先将客户端降级至SSL 3,即使是TLS 1.2也可以发起攻击。主要的目标是浏览器,因为攻击者必须注入恶意JavaScript以发起攻击。一个成功的攻击需要使用大约256次请求以发现一个cookie字符,仅需要4096次请求就能获取一个16字符的cookie。这使得这种攻击方式相当实用化。
根据我们最新的SSL Pulse扫描(尚未发布),大约10%的服务器容易遭受针对TLS的POODLE攻击。
要向了解更多信息,请参看如下资源:
- Adam Langley – POODL又开咬了
- A10 – CVE-2014-8730安全公告(PDF)
- Checkpoint – Check Point对TLS 1.x padding脆弱性的回应
- Cisco – SSL-TLS Implementations Cipher Block Chaining Padding Information Disclosure Vulnerability
- F5 – SOL15882: TLS1.x padding vulnerability CVE-2014-8730
- IBM – Security Bulletin: TLS padding vulnerability affects IBM Cognos Business Intelligence (CVE-2014-8730)
- IBM – Security Bulletin: TLS padding vulnerability affects IBM Cognos Metrics Manager (CVE-2014-8730)
- IBM – Security Bulletin: TLS padding vulnerability affects IBM® DB2® LUW (CVE-2014-8730)
- IBM – Security Bulletin: TLS padding vulnerability affects IBM HTTP Server (CVE-2014-8730)
- IBM – Security Bulletin: TLS padding vulnerability affects Tivoli Access Manager for e-business and IBM Security Access Manager for Web (CVE-2014-8730)
- Juniper – Connect Secure (SSL VPN): How to mitigate any potential risks from the ‘Poodle’ (TLS Variant) vulnerability (CVE-2014-9366)
- Microsoft – We’ve seen reports that some older platforms (e.g., Windows 2008) appear vulnerable, but no apparent patterns or reliable information so far.
如果有新的信息,我会更新本文章。