全部产品
云市场

【漏洞公告】SSL 3.0 安全漏洞

更新时间:2018-02-22 11:20:45

漏洞描述

SSL 3.0 版本当中的安全隐患,和此前的心脏出血漏洞机制类似,允许黑客使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。

SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。当用户的浏览器使用更新版本的安全协议与服务器进行连接,如果遇到 bug 导致连接失败,会转而尝试更老版本的安全协议(包括 SSL 3.0)进行连接。黑客完全有能力在攻击一个服务器/单一用户的时候故意制造连接失败的情况,触发浏览器的机制使用 SSL 3.0,并且从中获取用户/服务器端的关键信息。

修复方案

Chrome 浏览器用户,使用命令行工具来禁用SSL 3.0。

Windows 用户

  1. 完全关闭 Chrome 浏览器。
  2. 复制一个平时打开 Chrome 浏览器的快捷方式。
  3. 在新的快捷方式上右键单击,进入属性。
  4. 在目标后面的空格中字段的末尾输入以下命令 —ssl-version-min=tls1

Mac OS X 用户

  1. 完全关闭 Chrome 浏览器。
  2. 找到本机自带的终端(Terminal)。
  3. 输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome —ssl-version-min=tls1

Linux 用户

  1. 完全关闭 Chrome 浏览器。
  2. 在终端中输入以下命令:google-chrome—ssl-version-min=tls1

Firefox 浏览器用户:进入关于 > 设置,在地址栏输入 about:config,然后将 security.tls.version.min 调至 1