Skip to main content

POODLE (TLS)

对降级的旧加密进行密文填塞攻击

相关错误

“此服务器支持较早的 SSL/TLS 协议。服务器易受 Poodle (TLS) 攻击。禁用较早的协议。”

问题

发现了新版本的 POODLE (SSL) 漏洞,例如 Zombie POODLE、GOLDENDOODLE、0-Length OpenSSL 和 Sleeping POODLE。在使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议且启用了密码块链接 (CBC) 分组密码模式的网站上发现了这些新的 POODLE 漏洞。

解决方案

短期:禁用对 CBC 加密密码的支持。

长期:启用 TLS 1.3 协议。

变通方案

配置 TLS 以降低 CBC 密码的优先级。攻击者无法强制使用 CBC 密码,只能对通常越过 CBC 密码的客户端或服务器发起攻击。仅当您无法禁用对 CBC 加密密码的支持时,才使用此变通方案。