最新消息
SSL 3.0 存在中間人攻擊的弱點,請調整設定並安裝修補SSL相關套件
2014.10.30

 

  SSL 3.0 存在中間人攻擊的弱點(弱點編號CVE-2014-3566),研究人員稱為POODLE (Padding Oracle On Downgraded Legacy Encryption) 攻擊,惡意人士可利用中間人攻擊以解密HTTP cookies,從中取得機敏資訊(個人資料 /網站偏好 /密碼),建議請管理者調整設定並修補SSL相關套件,以降低資安風險。

 

※建議措施

 

  只發生於中間人攻擊,只要更新SSL相關套件就可以解決。建議管理者事項如下:

 

1. 停用SSL加密機制,改為啟用TLS加密機制。

 

2. 對於僅支援SSL的平台,請至各系統官方網站安裝修補SSL相關套件。以OpenSSL為例,官方網站已釋出修補SSL最新版本,OpenSSL 1.0.1 版本使用者請更新至1.0.1j 版本。

 

3. 建議使用者調整瀏覽器所支援的SSL/TLS相關設定:以IE 為例:「工具」=>「網際網路選項」=>「進階」裡的「安全性」設定 => 取消勾選「使用SSL 2.0」及「使用SSL 3.0」,改為勾選「使用TLS 1.0」、「使用TLS 1.1」及「使用TLS 1.2」。