SSL/TLS 「出口」加密「RSA 出口密匙因式分解」(FREAK)漏洞
最後更新
2015年03月09日
發佈日期:
2015年03月05日
1345
觀看次數
風險: 高度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
在 SSL/TLS 發現漏洞。此漏洞容許攻擊者截取受影響的客戶端及伺服器的 HTTPS 連接,強制使用 ‘export-grade’ 加密法而導致連接可被解密或修改,即是進行密鑰因式分解攻擊以揭露伺服器所使用的 RSA 私人密鑰。
影響
- 資料洩露
受影響之系統或技術
- 伺服器和客戶端的應用程式使用出口等級加密 (export grade ciphers, EC)。
有關受影響的供應商,請參考:
http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Reference=243585&SearchOrder=4
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 使用 OpenSSL 版本 1.0.1、1.0.0 及 0.9.8 的用戶,請分別升級至 1.0.1k、1.0.0p 及 0.9.8zd:https://www.openssl.org/news/secadv_20150108.txt
- 客戶端:
- 請注意供應商發出的更新檔案。目前您可以透過這個網站來檢查您的瀏覽器是否受到影響:https://freakattack.com/clienttest.html
- 伺服器:
- 請瀏覽這個網站來檢查您的伺服器是否受到此攻擊影響:https://tools.keycdn.com/freak
- 請關閉對 export grade 及其他弱加密字串套件的支援。詳情請參閱此指引:https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations
漏洞識別碼
資料來源
相關連結
分享至