⭐計字第104029號
發佈編號
TACERT-ANA-2015061109064343
發佈時間
2015-06-11 09:13:47
事故類型
ANA-漏洞預警
發現時間
2015-06-08 00:00:00
影響等級
中
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2015-0007
美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637及CVE-2015-4000[1-4]。
當伺服器SSL/TLS加密協定支援RSA_EXPORT或DHE_EXPORT加密演算法時,攻擊者可利用中間人攻擊修改ClientHello與ServerHello封包,將RSA金鑰加密演算法或DHE(Diffie-Hellman Ephemeral)金鑰加密演算法,降階為較弱的EXPORT演算法,增加駭客破解金鑰交換加密演算法之風險。當駭客成功破解加密金鑰,即可還原加密封包,取得通訊內容。
請各機關檢視所支援的金鑰交換加密演算法,是否已針對存在已知弱點演算法進行修正。
此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發。
[影響平台:]SSL/TLS加密協定支援EXPORT金鑰交換演算法之平台。如:
1.Microsoft IIS
2.Apache Tomcat
3.Nginx
4.Sendmail
5.Dovecot IMAP
6.HAProxy
7.IPSec
8.OpenSSH
9.BoringSSL
10.LibReSSL
11.Mono
12.IBM JSSE
13.SecureTransport
14.SChannel
15.Microsoft Internet Explorer
16.Mozilla Firefox
17.Apple Safari
18.Opera Browser
19.Android Browser
20.Blackberry Browser
伺服器端:
SSL/TLS加密協定演算法中存在安全漏洞,因此建議各機關停用不安全的金鑰交換加密演算法。請各機關檢視所屬平台所支援的金鑰交換加密演算法,是否關閉EXPORT演算法,採用安全性較高的ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)演算法,其常見的平台檢測方式與修補方式請參考「EXPORT檢測方式與修補方式」,下載網址:http://cert.tanet.edu.tw/pdf/CVE-2015-4000-check.pdf。
用戶端:
請立即更新瀏覽器至最新版本。
1.https://web.nvdnist.gov/view/vuln/detail?vulnId=CVE-2015-0204
2.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1067
3.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1637
4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000