[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2015-0007
美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637及CVE-2015-4000[1-4]。
當伺服器SSL/TLS加密協定支援RSA_EXPORT或DHE_EXPORT加密演算法時,攻擊者可利用中間人攻擊修改 ClientHello與ServerHello封包,將RSA金鑰加密演算法或DHE(Diffie-Hellman Ephemeral)金鑰加密演算法,降階為較弱的EXPORT演算法,增加駭客破解金鑰交換加密演算法之風險。當駭客成功破解加密金鑰,即可還原加密封 包,取得通訊內容。
請各機關檢視所支援的金鑰交換加密演算法,是否已針對存在已知弱點演算法進行修正。
[影響平台:]
SSL/TLS加密協定支援EXPORT金鑰交換演算法之平台。如:
1.Microsoft IIS
2.Apache Tomcat
3.Nginx
4.Sendmail
5.Dovecot IMAP
6.HAProxy
7.IPSec
8.OpenSSH
9.BoringSSL
10.LibReSSL
11.Mono
12.IBM JSSE
13.SecureTransport
14.SChannel
15.Microsoft Internet Explorer
16.Mozilla Firefox
17.Apple Safari
18.Opera Browser
19.Android Browser
20.Blackberry Browser
[建議措施:]
伺服器端:
SSL/TLS加密協定演算法中存在安全漏洞,因此建議各機關停用不安全的金鑰交換加密演算法。請各機關檢視所屬平台所支援的金鑰交換加密演算 法,是否關閉EXPORT演算法,採用安全性較高的ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)演算法,其常見的平台檢測方式與修補方式請參考「EXPORT檢測方式與修補方式」,下載網址:http://cert.tanet.edu.tw/pdf/CVE-2015-4000-check.pdf。
用戶端:
請立即更新瀏覽器至最新版本。
[參考資料:]
(此通報僅在於告知相關資訊,並非為資安事件),如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
專線電話:07-5250211
網路電話:98400000
E-Mail:Email住址會使用灌水程式保護機制。你需要啟動Javascript才能觀看它