SSL/TLS Services Support RC4 (PCI DSS)
medium Nessus Plugin ID 106458
語系:
概要
遠端主機上的一個服務支援 RC4說明
遠端主機上至少有一個 SSL 或 TLS 服務支援使用 RC4 進行加密。依據 NIST 特刊 800-57 第 1 項之定義,RC4 不符合強式加密的 PCI 定義。RC4 加密的似隨機位元組資料流產生程序存有缺陷,因此多種小偏差被引入資料流中,從而降低了其隨機性。若純文字遭重複加密 (如 HTTP cookie),且攻擊者能取得許多 (亦即上千萬) 加密文字,那么攻擊者可以衍生純文字。解決方案
請參閱軟體手冊並重新設定服務,以停用 RC4 支援功能。另請參閱
https://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
Plugin 詳細資訊
嚴重性: Medium
ID: 106458
檔案名稱: pci_rc4_supported.nasl
版本: 1.6
類型: remote
系列: General
已發布: 2018/1/29
已更新: 2020/4/27
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2015-2808
CVSS v3
風險因素: Medium
基本分數: 5.9
時間分數: 5.2
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
必要的 KB 項目: Settings/PCI_DSS
排除在外的 KB 項目: Settings/PCI_DSS_local_checks
可輕鬆利用: No known exploits are available
參考資訊
CVE: CVE-2013-2566, CVE-2015-2808