快捷导航
安全公告编号:CNTA-2014-0036

12月10日,CNVD收录了安全传输层协议TLS 1.2存在的一个中间人攻击漏洞(CNVD-2014-08824,对应CVE-2014-8730),该漏洞与此前披露SSL V3“POODLE”(中文名:贵宾犬)漏洞攻击原理相同,允许攻击者利用中间人攻击方法绕过传输层加密机制,窃取用户的敏感信息,例如cookies信息,帐号信息等。根据厂商自查结果,F5、A10等知名厂商网络设备受到漏洞影响,目前厂商已经提供了修复补丁。

一、漏洞情况分析

TLS(Transport Layer Security)安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。这种安全协议建立在SSL协议规范之上。近期,TLS 1.2被披露存在一个中间人攻击漏洞,该漏洞产生的原因是TLS 1.2未能正确校验PADDING,导致终止TLS 1.x CBC密码链接的时候,接收不正确的TLS PADDING,允许攻击者用中间人的攻击方法绕过传输层加密机制,窃取用户的敏感信息。CNVD对该漏洞的技术评级为“中危”,但漏洞攻击威胁有可能存在于网络设备相邻网络区域内(内部网络),对企业级用户造成广泛影响。

二、漏洞影响范围

目前相关厂商发布公告确认F5,A10等网络设备受到该漏洞影响,CNVD会进一步的跟踪其他的网络设备是否受影响的情况。根据披露的相关情况,下表所示为F5设备的具体影响版本及未受影响版本,如下所示:

Product
Versions known to be vulnerable
Versions known to be not vulnerable
Vulnerable component or feature
BIG-IP LTM
11.0.0 - 11.5.1
10.0.0 - 10.2.4
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP AAM
11.4.0 - 11.5.1
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
SSL profiles
BIG-IP AFM
11.3.0 - 11.5.1
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
SSL profiles
BIG-IP Analytics
11.0.0 - 11.5.1
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
SSL profiles
BIG-IP APM
11.0.0 - 11.5.1
10.1.0 - 10.2.4
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP ASM
11.0.0 - 11.5.1
10.0.0 - 10.2.4
11.6.0
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP Edge Gateway
11.0.0 - 11.3.0
10.1.0 - 10.2.4
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP GTM*
None
11.0.0 - 11.6.0
10.0.0 - 10.2.4
None
BIG-IP Link Controller*
None
11.0.0 - 11.6.0
10.0.0 - 10.2.4
None
BIG-IP PEM
11.3.0 - 11.6.0
11.6.0 HF3
11.5.1 HF6
11.5.0 HF6
11.4.1 HF6
11.4.0 HF9
SSL profiles
BIG-IP PSM
11.0.0 - 11.4.1
10.0.0 - 10.2.4
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP WebAccelerator
11.0.0 - 11.3.0
10.0.0 - 10.2.4
11.2.1 HF13
10.2.4 HF10
SSL profiles
BIG-IP WOM
11.0.0 - 11.3.0
10.0.0 - 10.2.4
11.4.1 HF6
11.4.0 HF9
11.2.1 HF13
10.2.4 HF10
SSL profiles
ARX
None
6.0.0 - 6.4.0
None
Enterprise Manager*
None
3.0.0 - 3.1.1
2.1.0 - 2.3.0
None
FirePass
None
7.0.0
6.0.0 - 6.1.0
None
BIG-IQ Cloud
4.0.0 - 4.4.0
None
REST API
BIG-IQ Device
4.2.0 - 4.4.0
None
REST API
BIG-IQ Security
4.0.0 - 4.4.0
None
REST API
LineRate
None
2.2.0 - 2.5.0
1.6.0 - 1.6.4
None

三、漏洞处置建议

目前F5、HP等设备厂商已经提供了TLS1.2的补丁升级程序,建议相关用户参考以下链接及时下载更新:


1、使用F5设备的用户,可以手动通过登陆tmsh配置设备降低风险,或者下载补丁链接: 

https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html

2、使用HP设备的用户,可以通过下面网站下载相应的补丁:

  1)HP企业版用户

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01264593

2)HP云用户

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01252141

参考链接:

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8730
[url]https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html[/url]
[url]https://www.imperialviolet.org/2014/12/08/poodleagain.html[/url]

http://www.cnvd.org.cn/webinfo/show/3518

http://www.cnvd.org.cn/flaw/show/CNVD-2014-08824


举报 使用道具
| 回复

共 1 个关于关于TLS 1.2受到此前SSL V3 “POODLE”漏洞攻击威胁的情况公告的回复 最后回复于 2015-2-9 11:26

Esx2015 高级会员 发表于 2015-2-9 11:26:36 | 显示全部楼层
收藏了~~~~~~
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表