SSL3.0POODLE漏洞-Fortinet技术支持中心.PDFVIP

SSL 3.0 POODLE 漏洞 版本 1.0 时间 2015 年4 月 作者 张彦龙 (ylzhang@) 受影响的版本 FortiOS (4.3.X, 5.0.X, 5.2.X) 状态 草稿 1. 简介 1.1 SSL 3.0 poodle 漏洞介绍 2014 年 10 月 15 日，Google 研究人员公布 SSL 3.0 协议存在一个非常严重的漏 洞，该漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据，如网银账号、邮 箱账号、个人隐私等等。SSL 3.0 的漏洞允许攻击者发起降级攻击，即欺骗浏览器说 “服 务器不支持更安全的安全传输层(TLS)协议” ，然后强制其转向使用SSL 3.0 ，在强制浏览 器采用 SSL 3.0 与服务器进行通讯之后，黑客就可以利用中间人攻击来解密 HTTPs 的 cookies ，Google 将其称之为 POODLE 攻击，若受到 POODLE 攻击，所有在网络上传 输的数据将不再加密。目前已被TLS 1.0 ，TLS 1.1 ，TLS 1.2 替代，因为兼容性原因，大 多数的 TLS 实现