維護

轉知【漏洞預警】SSL/TLS加密協定存在中間人攻擊破解加密金鑰弱點

⭐計字第104029號 發佈編號 TACERT-ANA-2015061109064343 發佈時間 2015-06-11 09:13:47 事故類型 ANA-漏洞預警 發現時間 2015-06-08 00:00:00 影響等級 中 [主旨說明:]【漏洞預警】SSL/TLS加密協定存在中間人攻擊破解加密金鑰弱點，弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637（FREAK）及CVE-2015-4000（LogJam） [內容說明:] 轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2015-0007 美國國家標準技術研究所（NIST）的國家弱點資料庫（NVD）發布弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637及CVE-2015-4000[1-4]。 當伺服器SSL/TLS加密協定支援RSA_EXPORT或DHE_EXPORT加密演算法時，攻擊者可利用中間人攻擊修改ClientHello與ServerHello封包，將RSA金鑰加密演算法或DHE（Diffie-Hellman Ephemeral）金鑰加密演算法，降階為較弱的EXPORT演算法，增加駭客破解金鑰交換加密演算法之風險。當駭客成功破解加密金鑰，即可還原加密封包，取得通訊內容。 請各機關檢視所支援的金鑰交換加密演算法，是否已針對存在已知弱點演算法進行修正。 此訊息僅發送到「區縣市網路中心」，煩請貴單位協助公告或轉發。 [影響平台:] SSL/TLS加密協定支援EXPORT金鑰交換演算法之平台。如： 1.Microsoft IIS 2.Apache Tomcat 3.Nginx 4.Sendmail 5.Dovecot IMAP 6.HAProxy 7.IPSec 8.OpenSSH 9.BoringSSL 10.LibReSSL 11.Mono 12.IBM JSSE 13.SecureTransport 14.SChannel 15.Microsoft Internet Explorer 16.Mozilla Firefox 17.Apple Safari 18.Opera Browser 19.Android Browser 20.Blackberry Browser [建議措施:] 伺服器端： SSL/TLS加密協定演算法中存在安全漏洞，因此建議各機關停用不安全的金鑰交換加密演算法。請各機關檢視所屬平台所支援的金鑰交換加密演算法，是否關閉EXPORT演算法，採用安全性較高的ECDHE（Elliptic Curve Diffie-Hellman Ephemeral）演算法，其常見的平台檢測方式與修補方式請參考「EXPORT檢測方式與修補方式」，下載網址：http://cert.tanet.edu.tw/pdf/CVE-2015-4000-check.pdf。 用戶端： 請立即更新瀏覽器至最新版本。 [參考資料:] 1.https://web.nvdnist.gov/view/vuln/detail?vulnId=CVE-2015-0204 2.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1067 3.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1637 4.https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-4000