说明
SSL/TLS中间人攻击漏洞(CCS注入)。
OpenSSL是OpenSSL团队开发的一个开源的能够实现安全套接层(SSL v2/v3)和安全传输层(TLS v1)协议的通用加密库,它支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL中存在安全漏洞,该漏洞源于程序没有正确限制ChangeCipherSpec消息的处理。
攻击者可借助特制的TLS握手利用该漏洞实施中间人攻击,在OpenSSL-to-OpenSSL通信过程中使用零长度的主密钥,劫持会话或获取敏感消息。
以下版本受到影响:
OpenSSL 0.9.8y及之前的版本,1.0.0m之前的1.0.0版本,1.0.1h之前的1.0.1版本。
|
|
漏洞危害
攻击者可借助特制的TLS握手利用该漏洞实施中间人攻击,在OpenSSL-to-OpenSSL通信过程中使用零长度的主密钥,劫持会话或获取敏感消息。
解决方案
升级OpenSSL到最新版本,下载地址 https://www.openssl.org/ 。
辅助验证方法
a. 在线检测
https://myssl.com/ccs.html
https://myssl.com/ccs.html?domain=shanghai.swmc.org.cn&port=443
https://www.ssllabs.com/ssltest/index.html
https://www.ssllabs.com/ssltest/analyze.html?d=shanghai.swmc.org.cn
测试检测站
http://www.yuxianxx.fxedu.cn
b. Nmap
|
|
c. 网站云监测
360/知道创宇/长亭等云端检测工具
