book
Article ID: 308645
calendar_today
Updated On:
Products
VMware vCenter Server
VMware vSphere ESXi
Support Only for Apache HTTP
Issue/Introduction
免责声明:本文为
VMware Products and CVE-2014-3566 (POODLE) (2092133) 的翻译版本。尽管我们会不断努力为本文提供最佳翻译版本,但本地化的内容可能会过时。有关最新内容,请参见英文版本。
研究人员最近发表了一篇有关对 SSLv3 中 CBC 模式密码的 Padding Oracle 攻击的文章。该攻击在报告中被称为 CVE-2014-3566,也称为“POODLE”(Padding Oracle On Downgraded Legacy Encryption) 漏洞。
本文提供了用于缓解该问题的指导。
该问题与 Mitigation of CVE-2011-3389 (BEAST) for web server administrators (2008784) 中介绍的 BEAST (Browser Exploit Against SSL/TLS) 问题类似。
Cause
该漏洞具有多个方面,可通过“其他信息”一节中提供的外部链接获取详细信息。
注意:
- 从技术角度而言,这是对浏览器的攻击,而非对服务器的攻击。攻击最有可能的目的是检索加密会话 Cookie,从而劫持用户的会话。
- 它涉及中间人 (MITM) 网络访问,同时在一定程度上控制用户的浏览器,使其发出重复请求,而请求内容在攻击者的控制之下,并且还需要极高的实时计算能力。
Resolution
要缓解该问题,请在浏览器中禁用 SSL v3。请查看有关如何禁用 SSL v3 的文档,或与浏览器供应商联系以获取相应文档。
注意:
- 当前 VMware 产品支持 TLS,因此可以在浏览器中禁用了 SSL v3 时继续运行。
- 浏览器(和组件)制造商建议停止使用 SSL v3。
- VMware 产品之间的通信不会受到影响,因为此类通信在终端之间进行,不涉及浏览器。
- VMware 计划在下一可用维护版本中逐步取消其产品对 SSL v3 的支持。