支援的 SSL RC4 加密套件 (Bar Mitzvah)
medium Nessus Plugin ID 65821
語系:
概要
遠端服務支援使用 RC4 加密。說明
遠端主機支援在一個或多個加密套件中使用 RC4。RC4 加密的似隨機位元組資料流產生程序存有瑕疵,因此多種小偏差被引入資料流中,從而降低了其隨機性。
若純文字遭重複加密 (如 HTTP cookie),且攻擊者能取得許多 (亦即上千萬) 加密文字,那么攻擊者可以衍生純文字。
解決方案
重新設定受影響的應用程式,如果可以請避免使用 RC4 加密。考慮使用 TLS 1.2,其具有受限於瀏覽器和 Web 伺服器支援的 AES-GCM 套件。另請參閱
http://www.nessus.org/u?ac7327a0
http://cr.yp.to/talks/2013.03.12/slides.pdf
http://www.isg.rhul.ac.uk/tls/
https://www.imperva.com/docs/HII_Attacking_SSL_when_using_RC4.pdf
Plugin 詳細資訊
嚴重性: Medium
ID: 65821
檔案名稱: ssl_rc4_supported_ciphers.nasl
版本: 1.21
類型: remote
系列: General
已發布: 2013/4/5
已更新: 2021/2/3
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2013-2566
CVSS v3
風險因素: Medium
基本分數: 5.9
時間分數: 5.4
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:X/RC:C
弱點資訊
可輕鬆利用: No known exploits are available
弱點發布日期: 2013/3/12
參考資訊
CVE: CVE-2013-2566, CVE-2015-2808