Google設計了一個名為POODLE(貴賓狗)的攻擊行動,並戲稱「這是隻會咬人的貴賓狗」,外界也因此將該漏洞命名為「貴賓犬」。

圖片來源: 

Flickr;作者:Toshihiro Gamo

繼Heartbleed與Shellshock漏洞後,Google安全團隊的3名研究人員於本周再度揭露了另一個同樣年代久遠的漏洞,該漏洞存在於15年前推出的SSL 3.0加密協定中,允許駭客攔截並計算出安全傳輸的明文內容。

相關連結:Google安全部落格說明漏洞細節(PDF)

發現該漏洞的3名研究人員分別是Bodo Möller、Thai Duong與Krzysztof Kotowicz,該團隊指出,SSL(Secure Sockets Layer) 3.0其實是個已被廢棄且不安全的協定,而且多數已被較新的TLS(Transport Layer Security) 1.0、TLS 1.1或TLS所取代,然而,有許多系統在導入TSL時都保留了向下相容的能力,以與仍然採用SSL 3.0的老舊系統互動,目的是為了維持流暢的使用者經驗。

客戶端與伺服器端是透過交握(handshake)機制來磋商彼此所使用的協定版本,通常會選擇一致的最新版本來進行資料的安全傳輸,然而,就算兩端都支援同一個TLS版本,但由於許多客戶端內含協定降級功能以處理伺服器端的互動問題,而使得SSL 3.0的安全等級仍扮演重要的角色。

Google設計了一個名為Padding Oracle On Downgraded Legacy Encryption(POODLE,貴賓狗)的攻擊行動,利用上述的降級功能突破了SSL 3.0的密碼安全防護,因而可用來竊取原本應是加密的cookies或Tokens。Google並戲稱「這是隻會咬人的貴賓狗」,外界也因此將該漏洞命名為「貴賓犬」。

Möller表示,不論是關閉對SSL 3.0的支援或是SSL 3.0中的CBC模式都能有效減輕該漏洞的危害,但卻會造成相容性問題,因此他們建議業者支援TLS_FALLBACK_SCSV,以避免駭客誘導瀏覽器使用SSL 3.0,同時能解決不斷連結失敗所造成的問題。

Google Chrome瀏覽器巳於今年2月開始支援TLS_FALLBACK_SCSV,Google除了正在測試關閉Chrome中降級至SSL 3.0的功能之外,也預計在未來幾個月於所有客戶端產品中移除對SSL 3.0的支援。Mozilla也準備在新版的Firefox瀏覽器中關閉SSL加密功能。Möller指出,相關改變可能會造成瀏覽器無法連結部份網站,建議這些尚使用舊版SSL協定的網站儘快升級。。

CloudFlare根據所經手的流量進行統計,發現只有0.09%的流量是基於SSL 3.0,即使是已經退役的XP系統,都只有1.12%的流量是透過SSL 3.0傳遞。目前外界尚未發現有任何的攻擊是鎖定該漏洞。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容