SSL 3.0 漏洞致信息泄露:微软发布安全公告3009008

微软安全响应中心发布安全公告3009008,详细说明SSL 3.0协议中存在的CBC模式漏洞可能导致加密通信内容泄露,并提供客户端与服务器端的禁用指南及缓解措施。

本日,与月度安全信息一同发布的安全公告2949927和2977292之外,还发布了安全公告3009008“SSL 3.0的漏洞导致信息泄露”。 ※日语翻译目前正在准备中。一旦发布,将在此页面通知。点击上述链接将重定向至英文页面。

使用SSL 3.0(CBC模式)时,协议中存在的漏洞可能被利用,导致加密通信内容泄露。此SSL 3.0漏洞是SSL 3.0协议本身存在的、需要整个行业共同应对的漏洞,并非特定产品实现上的漏洞。

微软目前正在进行调查,调查完成后,微软将采取适当措施保护客户。此外,利用此漏洞的新方法被认为对客户风险不大。同时,目前尚未确认有利用行为。 详情请参阅安全公告3009008。

受影响软件与环境

  • 所有受支持版本的Windows ※仅在使用采用CBC模式的SSL 3.0时受影响。TLS 1.0、TLS 1.1、TLS 1.2以及不使用CBC模式的密码套件不受影响。

解决方法

禁用SSL 3.0,并启用TLS 1.0、TLS 1.1和TLS 1.2。

客户端:通过组策略或单独禁用SSL 3.0,并启用TLS 1.0、TLS 1.1和TLS 1.2。 详细设置方法等请参阅安全公告3009008、IE支持团队博客。 ※作为安全公告3009008中所述漏洞应对的一部分,Internet Explorer 11在发生SSL 3.0回退时将显示警告功能已添加。此功能包含在MS14-080安全更新程序中,但默认设置中此功能被禁用。此功能的详情请参阅支持技术信息3013210。 ※通过安全更新程序3038314(微软安全信息MS15-032)的发布,Internet Explorer 11中SSL 3.0默认已禁用。

服务器端:通过注册表禁用SSL 3.0,并启用TLS 1.0、TLS 1.1和TLS 1.2。 详细设置方法请参阅支持技术信息187498。

缓解措施

利用漏洞需要以下要素。通过配置避免这些要素可以缓解攻击。

  • 攻击者需要向受害者发送数百个HTTPS请求才能成功攻击。
  • 仅在使用SSL 3.0(CBC模式)时受影响。TLS 1.0、TLS 1.1、TLS 1.2以及不使用CBC模式的密码套件不受影响。

参考信息

  • Security Advisory 3009008 released
  • How to Disable SSL 3.0 in Azure Websites, Roles, and Virtual Machines
  • [回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その 2

更新履历

  • 2014年10月15日15:25 发布安全公告3009008的日语页面。
  • 2014年10月16日15:30 追加了解决方法。
  • 2014年10月20日15:00 追加IE支持团队博客作为参考信息。
  • 2014年10月22日15:25 追加Microsoft Azure博客作为参考信息。
  • 2014年10月30日17:50 追加“[回避策まとめ] セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 その 2”作为参考信息。
  • 2014年12月10日10:30 在解决方法中追加说明:作为安全公告3009008中所述漏洞应对的一部分,Internet Explorer 11在发生SSL 3.0回退时将显示警告功能已添加。
  • 2015年4月15日:通知通过安全更新程序3038314(微软安全信息MS15-032)的发布,Internet Explorer 11中SSL 3.0默认已禁用。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次