偵測

SSL 第 2 版和第 3 版通訊協定偵測

critical Nessus Plugin ID 20007

語系:

概要

遠端服務使用具有已知弱點的通訊協定加密流量。

說明

遠端服務接受使用 SSL 2.0 和/或 SSL 3.0 連線。這些 SSL 版本受到數個密碼編譯瑕疵的影響,包括:

 - 具有 CBC 密碼的不安全填補配置。

 - 不安全的工作階段重新交涉和恢復配置。

攻擊者可惡意利用這些瑕疵,進行攔截式攻擊或解密受影響服務和用戶端之間的通訊。

雖然 SSL/TLS 可以透過安全的方式選擇通訊協定受支援的最高版本 (因此,只有在用戶端或伺服器支援更好時,才會使用這些版本),但仍有許多網頁瀏覽器以不安全的方式實作,進而允許攻擊者降級連線 (例如 POODLE 中的連線)。因此,建議完全停用這些通訊協定。

NIST 確定不再接受 SSL 3.0 用於安全通訊。截至 PCI DSS v3.1 中強制執行的日期,任何版本的 SSL 皆不符合 PCI SSC 的「強式密碼編譯」定義。

解決方案

請參閱應用程式的文件,停用 SSL 2.0 和 3.0。
改用 TLS 1.2 (包含核准的加密套件) 或更新版本。

另請參閱

https://www.schneier.com/academic/paperfiles/paper-ssl.pdf

http://www.nessus.org/u?b06c7e95

http://www.nessus.org/u?247c4540

https://www.openssl.org/~bodo/ssl-poodle.pdf

http://www.nessus.org/u?5d15ba70

https://www.imperialviolet.org/2014/10/14/poodle.html

https://tools.ietf.org/html/rfc7507

https://tools.ietf.org/html/rfc7568

Plugin 詳細資訊

嚴重性: Critical

ID: 20007

檔案名稱: ssl_deprecated.nasl

版本: 1.34

類型: remote

已發布: 2005/10/12

已更新: 2022/4/4

支援的感應器: Nessus

風險資訊

CVSS 評分論據: Score from a more in depth analysis done by tenable

CVSS v2

風險因素: Critical

基本分數: 10

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: manual

CVSS v3

風險因素: Critical

基本分數: 9.8

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

弱點資訊

必要的 KB 項目: SSL/Supported