SSL 第 2 版和第 3 版通訊協定偵測
critical Nessus Plugin ID 20007
語系:
概要
遠端服務使用具有已知弱點的通訊協定加密流量。說明
遠端服務接受使用 SSL 2.0 和/或 SSL 3.0 連線。這些 SSL 版本受到數個密碼編譯瑕疵的影響,包括:- 具有 CBC 密碼的不安全填補配置。
- 不安全的工作階段重新交涉和恢復配置。
攻擊者可惡意利用這些瑕疵,進行攔截式攻擊或解密受影響服務和用戶端之間的通訊。
雖然 SSL/TLS 可以透過安全的方式選擇通訊協定受支援的最高版本 (因此,只有在用戶端或伺服器支援更好時,才會使用這些版本),但仍有許多網頁瀏覽器以不安全的方式實作,進而允許攻擊者降級連線 (例如 POODLE 中的連線)。因此,建議完全停用這些通訊協定。
NIST 確定不再接受 SSL 3.0 用於安全通訊。截至 PCI DSS v3.1 中強制執行的日期,任何版本的 SSL 皆不符合 PCI SSC 的「強式密碼編譯」定義。
解決方案
請參閱應用程式的文件,停用 SSL 2.0 和 3.0。改用 TLS 1.2 (包含核准的加密套件) 或更新版本。
另請參閱
https://www.imperialviolet.org/2014/10/14/poodle.html
https://www.openssl.org/~bodo/ssl-poodle.pdf
https://www.schneier.com/academic/paperfiles/paper-ssl.pdf
http://www.nessus.org/u?b06c7e95
http://www.nessus.org/u?247c4540
http://www.nessus.org/u?5d15ba70
Plugin 詳細資訊
嚴重性: Critical
ID: 20007
檔案名稱: ssl_deprecated.nasl
版本: 1.34
類型: remote
已發布: 2005/10/12
已更新: 2022/4/4
風險資訊
CVSS 評分論據: Score from a more in depth analysis done by tenable
CVSS v2
風險因素: Critical
基本分數: 10
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: manual
CVSS v3
風險因素: Critical
基本分數: 9.8
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
弱點資訊
必要的 KB 項目: SSL/Supported