:::
:::首頁 > 網路安全服務 > 政府網路危機處理中心 > 最新訊息
 
 
ICON 最新訊息 ICON 相關服務
ICON 中心簡介 ICON 相關網站
最新訊息
 
事件通告
分隔線
(弱點編號CVE-2014-3566) SSL 3.0 存在中間人攻擊的弱點,請管理者調整設定並安裝修補SSL 相關套件!(2014/10/16)
 
詳細描述:
【弱點說明】

SSL 3.0 存在中間人攻擊的弱點(弱點編號CVE-2014-3566),研究人員稱為POODLE (Padding Oracle On Downgraded Legacy Encryption) 攻擊,惡意人士可利用中間人攻擊以解密HTTP cookies ,從中取得機敏資訊(個人資料 /網站偏好 /密碼),HiNet SOC 建議請管理者調整設定並修補SSL 相關套件,以降低資安風險。

【影響範圍】

SSL 3.0

【建議措施】

  • 建議管理者進行事項如下:
  • 1. 停用SSL 加密機制,改為啟用TLS 加密機制。
    2. 對於僅支援SSL 的平台,請至各系統官方網站安裝修補SSL 相關套件。以OpenSSL 為例,官方網站已釋出修補SSL 最新版本,OpenSSL 1.0.1 版本使用者請更新至1.0.1j 版本。
  • 建議使用者調整瀏覽器所支援的SSL/TLS 相關設定:
  • 1. 以IE 為例:「工具」=>「網際網路選項」=>「進階」裡的「安全性」設定 => 取消勾選「使用SSL 2.0」及「使用SSL 3.0」,改為勾選「使用TLS 1.0」、「使用TLS 1.1」及「使用TLS 1.2」。

【參考資料】

【更新紀錄】

  • v1.0 (2014/10/16):發佈事件通告。

 
 
下框