研究人员最近发表了一篇有关对 SSLv3 中 CBC 模式密码的 Padding Oracle 攻击的文章。该攻击在报告中被称为 CVE-2014-3566，也称为“POODLE”(Padding Oracle On Downgraded Legacy Encryption) 漏洞。

本文提供了用于缓解该问题的指导。

该问题与 Mitigation of CVE-2011-3389 (BEAST) for web server administrators (2008784) 中介绍的 BEAST (Browser Exploit Against SSL/TLS) 问题类似。

该漏洞具有多个方面，可通过“其他信息”一节中提供的外部链接获取详细信息。

注意：

• 从技术角度而言，这是对浏览器的攻击，而非对服务器的攻击。攻击最有可能的目的是检索加密会话 Cookie，从而劫持用户的会话。
  
  
• 它涉及中间人 (MITM) 网络访问，同时在一定程度上控制用户的浏览器，使其发出重复请求，而请求内容在攻击者的控制之下，并且还需要极高的实时计算能力。

要缓解该问题，请在浏览器中禁用 SSL v3。请查看有关如何禁用 SSL v3 的文档，或与浏览器供应商联系以获取相应文档。

注意：

• 当前 VMware 产品支持 TLS，因此可以在浏览器中禁用了 SSL v3 时继续运行。
• 浏览器（和组件）制造商建议停止使用 SSL v3。
• VMware 产品之间的通信不会受到影响，因为此类通信在终端之间进行，不涉及浏览器。
• VMware 计划在下一可用维护版本中逐步取消其产品对 SSL v3 的支持。