S5800T 被绿盟软件扫描出安全隐患 SSL3.0

发布时间:  2015-04-16 浏览次数:  189 下载次数:  0
问题描述

S5800T V100R005C00SPC003 被绿盟软件扫描出安全隐患 SSL3.0攻击信息泄露漏洞

告警信息

SSL3.0是已过时且不安全的协议,目前已被TLS 1.0TLS 1.1TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0

为了通用性的考虑,目前多数浏览器版本都支持SSL3.0TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商。能够实施中间人攻击的攻击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败,可以成功实现降级攻击,从而使得客户端与服务器端使用不安全的SSL3.0进行通信,此时,由于SSL 3.0使用的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODL攻击(Padding Oracle On Downgraded Legacy Encryption)

此漏洞影响绝大多数SSL服务器和客户端,影响范围广泛。但攻击者如要利用成功,需要能够控制客户端和服务器之间的数据(执行中间人攻击)

处理过程

TV1存储V100R005C30SPC500之前版本都存在这个漏洞,需升级到V100R005C30SPC500之后版本后修复该漏洞

解决方案

升级到V100R005C30SPC500版本,安装SCP补丁

END