CVE-2014-3566
https://access.redhat.com/articles/1232123
https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00
https://yryz.net/post/tls-fallback-scsv.html
关于SSL/TLS中间人降级攻击
TLS_FALLBACK_SCSV 信令套件可以用来阻止客户端和服务器之间的意外降级,预防中间人攻击。
规范修改历史:
- draft-ietf-tls-downgrade-scsv-00 (2014-07-04)
- draft-bmoeller-tls-downgrade-scsv-02 (2014-05-31)
- draft-bmoeller-tls-downgrade-scsv-01 (2013-11-28)
- draft-bmoeller-tls-downgrade-scsv-00 (2013-09-25)
服务端行为:
如果TLS_FALLBACK_SCSV出现在 ClientHello.cipher_suites 中,而服务器支持的最高协议版本高于 ClientHello.client_version 服务器必须回应inappropriate_fallback警告。
客户端行为:
如果客户端发送的ClientHello.client_version比它支持的最高版本低,需要在ClientHello.cipher_suites中包含TLS_FALLBACK_SCSV密码套件在最后面。
降级防护:
必须客户端、服务端都实现TLS_FALLBACK_SCSV!
客户端支持情况:
IE11还没有实现、FireFox说要到2015年才实现、OpenSSL需要升级版本
Chrome已经实现 TLS_FALLBACK_SCSV {0x56, 0x00}
Windows Chrome 38.0.2125.104 m
OpenSSL实现TLS_FALLBACK_SCSV来阻止中间人降级攻击,缓解POODLE漏洞影响(https://www.openssl.org/news/secadv_20141015.txt)
SSL 3.0 Fallback protection
Severity: Medium
OpenSSL has added support for TLS_FALLBACK_SCSV to allow applications
to block the ability for a MITM attacker to force a protocol
downgrade.Some client applications (such as browsers) will reconnect using a
downgraded protocol to work around interoperability bugs in older
servers. This could be exploited by an active man-in-the-middle to
downgrade connections to SSL 3.0 even if both sides of the connection
support higher protocols. SSL 3.0 contains a number of weaknesses
including POODLE (CVE-2014-3566).OpenSSL 1.0.1 users should upgrade to 1.0.1j.
OpenSSL 1.0.0 users should upgrade to 1.0.0o.
OpenSSL 0.9.8 users should upgrade to 0.9.8zc.https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00
https://www.openssl.org/~bodo/ssl-poodle.pdfSupport for TLS_FALLBACK_SCSV was developed by Adam Langley and Bodo Moeller.
最新文章
- ccc pool
- 数据库执行监控,除了Profiler的方案
- 【STL】-auto_ptr的用法
- 远程使用Gpupdate(Hash,哈希)
- WPFX名称空间
- IPTV小窗口播放视频 页面焦点无法移动的解决方法
- 怎样在Ubuntu上安装最新版本号的Node.js
- flying-saucer + iText + Freemarker实现pdf的导出, 支持中文、css以及图片
- vue的简单tab
- Kubernetes之存储
- webpack 插件库
- ps无法存储为PNG
- MyBatis(五):mybatis关联映射
- tomcat vue webpack vue-router 404
- 【ASP.NET 进阶】Flv视频文件在线播放示例
- listView 解决焦点冲突问题 item项和子控件之间的冲突
- 雷林鹏分享:C# 索引器(Indexer)
- 请求包含(Include)和请求转发(Forward)
- 字符串查找 · Implement strStr()
- Centos/ubuntu配置SVN服务
热门文章
- 轻松学习Linux之Shell的常用过滤器
- Servlet 获取多个参数
- HDU 3864 D_num Miller Rabin 质数推断+Pollard Rho大整数分解
- touch、touchevent-事件总结
- 对DataTable进行过滤筛选的一些方法Select,dataview
- 开发过程使用Tomcat Maven插件持续快捷部署Web项目
- java线程——详解Callable、Future和FutureTask
- 洛谷 P1178 到天宫做客
- uva 10098 Generating Fast(全排列)
- GCJ 2008 Round 1A Minimum Scalar Product