研究人员咨询甲骨文
一些受欢迎的网站仍在依靠过beplay体育能用吗时的加密算法,因此很容易受到攻击。
一组研究人员的扫描发现,令人惊讶的备受瞩目的站点容易受到密码块链接(CBC)填充甲骨文攻击的攻击。这些攻击使对手可以通过观察不同的服务器行为来解密TLS流量,这取决于CBC填充的有效性。
对CBC填充的Alexa前百万网站的分析在运输层安全性(TLS)实beplay体育能用吗现中的分析显示,样本中有1.83%的漏洞。没有一个一致的因素,研究人员在练习过程中识别出近100个不同的漏洞。
研究人员 - 罗伯特·梅尔特(Robert Merget),朱拉伊·索莫罗夫斯基(Juraj Somorovsky),尼姆罗德·阿维拉姆(Nimrod Aviram),克雷格·杨(Craig Young),贾尼斯·弗莱根斯奇(Janis Fliegenschmidt),约尔格·施温克(JörgSchwenk),尤瓦尔·夏维特(Yuval Shavitt) - 汇总了他们的研究论文,标题为“可扩展的扫描和自动分类和自动分类,tls padding oracle vulnerability'。
完整的论文将在2019年8月在USENIX安全会议上介绍。
披露过程仍在与少数供应商一起运行,因此,跑步者和骑手的完整清单都得到了保留。在全面披露之前,研究团队透露了他们的初步发现本周,他们发现了他们发现的问题类型的例子。
在某些加密实现中使用CBC操作模式是一个特定的问题。一些供应商正在考虑是否需要禁用甚至完全从产品中删除CBC密码套件。
站点管理员需要应用安全补丁来捍卫其系统。Citrix发布了一个补丁CVE-2019-6485和opensslCVE-2019-1559。
尚未解决,例如,OpenSSL问题将具有以下实际效果:
受此漏洞影响的主机立即使用BAD_RECORD_MAC和COLLES_NOTIFY ALERT响应大多数记录,然后关闭连接。但是,如果主机遇到带有有效填充和MAC的零长度记录,则无论MAC的有效性如何,它们都不会立即关闭TCP连接。
未解决的服务器端漏洞使站点容易受到类似于野兽和贵宾犬等早期问题的攻击。网站所有者需要更新其系统,因为即使对于带有完整修补系统的消费者访问网站,也存在安全风险。
野兽(针对SSL/TLS的浏览器利用)是TLS 1.0中的一类密码块链(CBC)漏洞,该漏洞在2011年首次发现。
Poodle Attack - 降级遗产加密的填充物 - 是一种中型利用,它通过强迫运行TLS的系统使用SSL 3.0的系统来使用SSL 3.0,这是一种旧式加密技术,这是现代计算机可行的破解。该漏洞于2014年10月宣布。
尽管剥削相当困难,但研究人员建议:“如果您使用上述实施之一,您仍然应该确保已修补。”
梅尔特告诉每日swbeplay2018官网ig研究人员发现的问题的数量并不特别令人惊讶。
梅尔特解释说:“由于CBC代码很难编写和维护,因此这些漏洞不时弹出,因此不足为奇。”“这些〜100个漏洞基本上代表了这一事实。这与所有以前的TLS-Poodle变体有关。”
“大多数漏洞具有相同的漏洞,但是有很多漏洞仅由单个服务器展示。如果您在接下来的几周内进行重新审查,您可能会得到较低的数字。”
他补充说,梅尔特(Merget)团队的分析比以前在该领域的工作更深入地研究了这个问题。
“通常人们不会以如此深度的方式评估填充甲骨文。例如,SSL Labs仅检查CVE-20162-107和“一些TLS-Poodle变体”。“我们试图创建一个干净的评估,该评估涵盖了大多数不同方面并分类了不同的服务器行为。”
