SSL 版本 2 和 3 协议检测
critical Nessus 插件 ID 20007
语言:
简介
远程服务使用包含已知漏洞的协议来加密流量。描述
远程服务接受使用 SSL 2.0 和/或 SSL 3.0 加密的连接。这些 SSL 版本受到多个加密缺陷的影响,包括:- 采用 CBC 加密方式的不安全填充方案
- 不安全的会话重新协商和恢复方案。
攻击者可利用这些缺陷实施中间人攻击,或者对受影响的服务和客户端之间的通信进行解密。
尽管 SSL/TLS 拥有用于选择协议最高支持版本的安全方法(以便仅在客户端或服务器没有更优版本可以支持的情况下使用这些版本),但许多 Web 浏览器仍然以不安全的方式实现此操作,进而导致攻击者将连接降级(例如 POODLE)因此,建议完全禁用这些协议。
NIST 已确定 SSL 3.0 不再适用于安全通信。自 PCI DSS v3.1 中的强制执行之日起,SSL 的任何版本将不再符合 PCI SSC 的“强加密”定义。
解决方案
查阅应用程序的文档以禁用 SSL 2.0 和 3.0。改用 TLS 1.2(以及经过批准的密码套件)或更高版本。
另见
https://www.schneier.com/academic/paperfiles/paper-ssl.pdf
http://www.nessus.org/u?b06c7e95
http://www.nessus.org/u?247c4540
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://www.nessus.org/u?5d15ba70
https://www.imperialviolet.org/2014/10/14/poodle.html
插件详情
严重性: Critical
ID: 20007
文件名: ssl_deprecated.nasl
版本: 1.34
类型: remote
发布时间: 2005/10/12
最近更新时间: 2022/4/4
支持的传感器: Nessus
风险信息
CVSS 分数理由: Score from a more in depth analysis done by tenable
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: manual
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
必需的 KB 项: SSL/Supported