如何修复 POODLE SSLv3

[如何做好河道生态治理及环境修复工作]1 概述随着社会的不断发展，人们对河道的开发力度日益变大，对水资源的需求也日益增加，关于河流管理的问题面临着诸多的挑战。人们在开发过程中，既要发挥河流发电、航运、水利、...+阅读

POODLE = Padding Oracle On Downgraded Legacy Encryption 首先，这是一个迟来的命名，但安全问题仍然可怕。最新的安全漏洞（CVE�0�2-2014-3566）代号是POODLE，这是一个缩写，按照上面的标题有实际的意义吗？这个漏洞和之前的 B.E.A.S.T (Browser Exploit Against SSL TLS) 非常相似，但是目前还没有可靠的解决办法，除非完全禁用 SSLv3 的支持。简单的说，攻击者可获取你加密流中的明文数据。还是让我们来看看如何处理吧，Mozilla Security Wiki Serverside TLS 之前建议使用严格的协议和加密方法限制，值得我们注意。 Apache 在Apache 的 SSL 配置中禁用 SSLv3 和 SSLv3: SSLProtocol all -SSLv2 -SSLv3 Nginx 在 Nginx 只允许使用 TLS 协议： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; MySQL 值得注意的是，除非你在 MySQL 5.6 中部署 sha256_password 插件，plugin for MySQL 5.6 就会在验证握手之前必须完成SSL/TLS连接协商，因此这种攻击向量只成为一个问题 —— 有效的登录访问的数据流。

（ sha256_password 提供一个选项使用 SSL/TLS 的认证）这使得事情变得更加有趣，和 Apache 和 Nginx 不同的是，没有方法来完全启用和禁用 SSL/TLS 协议，但可以指定 SSL 通讯的加密规范. 要在 MySQL 删除 SSLv3 的支持，你只需要确定在配置中不使用 SSLv3 加密。在这个 bug 中你可以找到 SSLv3 加密方法列表： openssl ciphers -v 'DEFAULT' | awk '/SSLv3 Kx=(RSA|DH|DH(512))/ { print $1 }' DHE-RSA-AES256-SHA DHE-DSS-AES256-SHA DHE-RSA-CAMELLIA256-SHA DHE-DSS-CAMELLIA256-SHA AES256-SHA CAMELLIA256-SHA EDH-RSA-DES-CBC3-SHA EDH-DSS-DES-CBC3-SHA DES-CBC3-SHA DHE-RSA-AES128-SHA DHE-DSS-AES128-SHA DHE-RSA-SEED-SHA DHE-DSS-SEED-SHA DHE-RSA-CAMELLIA128-SHA DHE-DSS-CAMELLIA128-SHA AES128-SHA SEED-SHA CAMELLIA128-SHA RC4-SHA RC4-MD5 EDH-RSA-DES-CBC-SHA EDH-DSS-DES-CBC-SHA DES-CBC-SHA EXP-EDH-RSA-DES-CBC-SHA EXP-EDH-DSS-DES-CBC-SHA EXP-DES-CBC-SHA EXP-RC2-CBC-MD5 EXP-RC4-MD5 删除 ssl-cipher 配置中的上述信息就可以禁用 SSLv3 支持。

当然，确保 MySQL 服务不提供一般访问是迄今为止对抗 CVE-2014-3566 漏洞最重要的一个步骤。你可以通过这里了解更多关于 POODLE 的资讯。以下脚本可以识别你的服务是否提供没有密码的 SSLv3 支持： mysql -se “SHOW STATUS LIKE 'Ssl_cipher_list'” | sed 's/:/n/g' | sed 's/Ssl_cipher_listss//g' | while read sspec; do SPEC=openssl ciphers -v “$sspec” 2>/dev/null | grep -v SSLv3 | awk '{print $1}'; [[ ＂$sspec＂ == ＂$SPEC＂ ]] & mysql –ssl-cipher=$sspec -e QUIT 2>/dev/null & echo “$sspec OK”; done 水平有限，翻译如有误请帮忙指出，谢谢！转载

Oracle发布软件更新修复Java漏洞

北京时间1月13日消息，Oracle发布了一个紧急软件更新来修复其Java软件中的安全漏洞，此漏洞可能会让攻击者非法侵入电脑。这项更新目前可在Oracle官网下载，修复了Java 7中的一个关键漏洞，此漏洞可能会让远程的未经授权的攻击者执行任意代码。如果有人访问北京时间1月13日消息，Oracle发布了一个紧急软件更新来修复其Java软件中的安全漏洞，此漏洞可能会让攻击者非法侵入电脑。这项更新目前可在Oracle官网下载，修复了Java 7中的一个关键漏洞，此漏洞可能会让远程的未经授权的攻击者执行任意代码。如果有人访问了这个被建立恶意代码的Web网站，那么就会被诱导利用这个漏洞对网站进行攻击。Oracle公司表示此更新修改了Java与Web应用程序交互的方式。Oracle公司在报告中称：“Java程序和Web启动应用程序默认的安全级别已经从‘中等’上升到了‘高等’这会影响未签名（沙盒中）的Java Web应用，导致这些应用在任何条件下可以随意运行。

此前，只要你拥有最新的安全Java版本安装程序和web启动应用程序，就可以运行。在任何未签名的应用程序运行前，安全级别设置为‘高级’的用户都会被提示，以防止可疑程序的运行。＂该漏洞已经被一个名为Mal/JavaJar-B的0-day木马利用来攻击Windows、Linux和Unix系统了，被分布在开发工具包＂Blackhole＂和＂NuclearPack＂中，这对攻击者来说更方便了。标签 Oracle 发布软件更新修复 Java 漏洞北京时。