POODLE 和 TLS ......不是 SSL

信息安全 tls 攻击 openssl 已知漏洞 脆弱性
2021-09-04 21:59:20

在 12 月,针对 TLS 1.0 的 POODLE 出现了新的攻击面(认为这也涵盖了 1.1 和 1.2?)。无论如何,作为 Windows Server 2008/2012 的系统管理员,我们可以做些什么来防止这种情况发生?

我读过的很多文章都说,由于 SSL 中使用了 CBC 块密码,这会导致问题,我看到有人在这个网站上写了一篇很好的文章,解释得很好……但我总是读“这不会影响 TLS” ...但是,现在看来它确实会影响它。

从阅读各种文章来看,似乎很多状态“TLS 的一些实现受到影响”......这是什么意思???!他们在谈论什么具体的实现?

我们已经在 10 月份禁用了 SSL 3.0,但试图了解我们还能做些什么来防止对 TLS 的新攻击?

除了一些解释 F5 和一些 A10 系统或网站受到影响的文章外,我找不到任何东西,但没有找到关于如何在 Windows 服务器上解决此问题的任何文章。

我还看到了建议不要使用旧浏览器的问题——我对此并不真正感兴趣,因为我负责的是服务器而不是桌面空间,桌面人员会知道他们拥有哪些浏览器。我知道服务器有浏览器,所以我想我有点兴趣,但是我们公司禁用了服务器上的互联网访问......除非你在终端服务器上......

具体来说,我需要更改 TLS 密钥下的注册表中的任何内容吗?我不知道如果我们禁用 TLS 1.0 会破坏什么(但如果这个最新的 POODLE 攻击影响了 TLS 1.1 和 1.2,那么我们就无法关闭整个系统!)。

1个回答

TLS 1.0 的一些实现没有按照 TLS 规范的要求正确验证填充。这导致了 POODLE 漏洞可以被用于 TLS 1.0 的情况,尽管事实上它应该可以抵御攻击。TLS 的更高版本(即 1.1 和 1.2)本质上是针对 POODLE 和其他填充 oracle 问题的安全性,因为它们验证加密消息(CBC-then-MAC)而不是验证明文(MAC-then-CBC)(编辑:那位错了,请参阅下面的 Thomas Pornin 评论)

据我所知,受影响的唯一主要实施是来自 F5 Networks、A10 Networks 和 Cisco 的设备。SSL Labs扫描程序会检查错误,但它只能针对面向 Internet 的 IP 据我所知,Windows SSL 堆栈在 TLS 1.0 中正确实现了填充检查,因此不易受到 POODLE 的 TLS 变体的攻击。因此,您不需要做任何事情。

其它你可能感兴趣的问题
上一篇图像文件作为密码替代 下一篇使用免费和匿名的 VPN 服务安全吗?