来源:蜘蛛抓取(WebSpider)
时间:2015-09-04 02:10
标签:
poodle漏洞补丁
一个存在于 SSL 3.0 协议中的新漏洞于被披露,通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。
问题出在哪里?
与此问题相关的不是 SSL 证书本身,而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞,通过该漏洞,攻击者可以获得密
码和浏览记录之类的个人信息。
虽然 SSL 3.0 推出已经 18 年了,而且 15 年前就有了更安全的 TLS 协议,SSL 3.0 仍在广泛使用中。要实现安全加密,必须完全禁用 SSL&
3.0,以防止降级攻击。
如何应对?
作为服务器管理员,您需要按照下列步骤操作:
1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL &命令来查看服务器配置:
openssl s_client -ssl3 -connect [host]:[port]
如果 SSL 3.0 被禁用,您将看到此通知:
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
2. 完全禁用 SSL 3.0
3. 只启用 TLS 1.0 及以上级别安全协议
关于如何在各主流服务器中禁用 SSL 3.0,您可以参考下面链接中的帮助和说明:
Apache:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
Nginx:http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
IIS:/kb/187498
网站用户也应对浏览器进行配置,不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认,所以请确保及时
更新为最新版本的浏览器,并定期与您的供应商联系以获得最新信息。
利用 SSL 3.0 回退:https://www.openssl.org/~bodo/ssl-poodle.pdf
微软安全报告 3009008:/en-us/library/security/3009008
版权声明:本文为博主原创文章,未经博主允许不得转载。
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:238851次
积分:4934
积分:4934
排名:第2664名
原创:279篇
评论:23条
(4)(4)(1)(4)(3)(4)(4)(5)(4)(4)(6)(6)(1)(7)(4)(5)(4)(2)(5)(4)(4)(6)(3)(5)(5)(5)(5)(11)(4)(6)(7)(9)(5)(5)(1)(6)(8)(18)(22)(2)(11)(10)(3)(17)(5)(10)(1)(4)(1)(3)(1)Zen Cart的安装、设置、升级讨论和使用技巧交流
& 分页: 1 / 1
由于POODLE漏洞, 一些支付处理商已经开始停止使用SSLv3.0, 这有可能导致收款出现问题:现象:付款过程中客户有可能看到这样的错误信息: &An error occurred when we tried to contact the payment processor. Please try again, select an alternate payment method, or contact the store owner for assistance. () - (35) error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number&背景:在过去几年 告诉PHP弃用缺省的SSLv2通信是很重要的, 于是我们指定了SSLv3, 但现在SSLv3已经被 TLS 1.0
1.1 和 1.2所超越, 现在较新版本的PHP和libcurl只要没有指定SSL的版本 他们能够自动协议使用最优的SSL版本, 所以对于POODLE漏洞最好的办法就是修改ZENCART的代码 不指定SSL版本, 让PHP和libcurl自动协商.受影响的版本:v1.3.8a - 只有linkpoint_api module受影响v1.3.9 - 以下所有文件受影响v1.5.0-v1.5.3 - 以下所有文件受影响受影响的文件:/includes/modules/payment/paypal/paypal_curl.php
约58行/includes/modules/payment/authorizenet_aim.php 约600行/includes/modules/payment/authorizenet_echeck.php 约589行/includes/modules/payment/paypaldp.php 约2342行 (有些版本有此文件, 有些没有, 有的话就改)/includes/modules/payment/linkpoint_api/class.linkpoint_api.php 约309行(行号因你使用的ZENCART版本不同而有可能不同)修改:在所有PHP文件中查找&CURLOPT_SSLVERSION&, 代码行如下:代码: &curl_setopt($ch, CURLOPT_SSLVERSION, 3);只要将此行注释掉即可代码: //& curl_setopt($ch, CURLOPT_SSLVERSION, 3);(注意:在paypal_curl.php文件中代码相似 但由于其他的原因写法不完全一样, 在行首加//即可:)代码: //& & &CURLOPT_SSLVERSION =& 3,如果你自行安装了其他支付和物流模块, 并且使用CURL/SSLv3通信, 可以做同样修改注:1. 即使你的网站没有安装SSL证书, 也要做此修改2. PAYPAL将于北京时间 日 下午4:01 开始停止对SSL 3.0的支持, 请及时修改转载自:
帖子: 507注册:
& 分页: 1 / 1
正在浏览此版面的用户:Yahoo [Bot] 和 2 位游客Claws Mail 3.11.0 修复了POODLE 漏洞
查看: 796|
随着每一个新版本的推出,Claws Mail 将会越来越好。
Claws Mail 发起于Linux 社区,是一款快速、简单易用,并且充满了很多有趣的特性的开源邮件客户端。开发者们推送了一次大的更新和升级,建议使用者进行升级。
有些人可能不知道这个邮件客户端,但Claws Mail 实际上是一个非常老的软件。它以前名称是Sylpheed-Claws ,已经走过了13个年头。Claws Mail 不久以前从其分支(forked)了出来,新分支的目的是成为Sylpheed-Claws更好的替代产品。
现在还有很多针对Linux 的邮件客户端正在进行着霸权地位的争夺战,尽管并没有打的硝烟四起。很多的Linux发行版都默认集成了Claws Mail,对于Claws Mail 的粉丝而言,这将是一个好消息。
Claws Mail 3.11.0 给我们带来了哪些新的特性呢
就像其他的采用网络连接和网络协议的应用程序一样,Claws Mail 被发现也受到了安全漏洞的影响,比如说POODLE 漏洞。开发者的反应很迅速,可以从其更新日志中看出。
&新版本的RSSyl 插件已经完全被重新设计和重写。从先前版本的迁移是自动完成的,采用新的存储格式,存储在~/.claws-mail/RSSyl/ (用分级目录代替了普通文件的格式)。并且用expat 库代替了libxml2 库来解析提要数据。&
&应广大朋友的要求,在邮件的编辑窗口里,在邮件内容中使用向上光标键时,会停留在邮件的内容的最上一行,而不再会跳到信头字段了。这是在3.10.0版本中引入的。详见开发者的。&
当然,大家也可以放心了,因为在新的邮件客户端中已经解决了POODLE 漏洞,这是通过禁用了所有的SSLv3 连接实现的。
使用制表符进行地址补完的功能也进行了一些改进,并变得更好,特别是对于撰写新邮件,通过光标箭头帮助导航的功能已经做了调整,有很多较小的改进。
开发者为大多数发行版创建了很多仓库,但是你也依然可以使用源代码来安装。想要进一步的了解,你可以关注官方关于每个版本的公告。
去下载Claws Mail 3.11.0 的源码包吧,如果你想要自己编译软件的话。
作者: 译者: 校对:
原创翻译, 荣誉推出
上一篇:下一篇:
分享到微信朋友圈
打开微信,点击底部的“发现”,
使用“扫一扫”将网页分享至朋友圈。zencart 网站Paypal支付如何修复POODLE SSL 3.0漏洞
查看:2420
zencart 网站Paypal支付如何修复POODLE SSL 3.0漏洞先来看看Paypal官方提供的技术资料:什么是POODLE?POODLE是一个互联网安全漏洞,它会影响安全套接字层(SSL)3.0协议,而该协议的目的是为网上冲浪提供安全的连接。利用此漏洞,网络犯罪分子能够通过这个广泛应用(但已有15年历史)的安全协议访问所谓的安全连接。贝宝如何应对?贝宝将在一段时间内完全禁用SSL&3.0支持,禁用期限将通过贝宝通知公布;但是根据安全监控的情况,我们可能需要迅速采取行动保护我们的客户,因此必须尽快做出调整。遗憾的是,我们认识到关闭SSL&3.0会给少数客户带来兼容性问题,导致在某些商家网站上无法使用贝宝付款,或者引起一些其他处理问题,对于这些问题我们仍在确认。为便于您进行评估以及做出可能的补救,我编写了这份商家应对指南,以确保此漏洞不会影响您的集成安全。您需要采取的措施……1.&通过PayPal&Sandbox测试您当前的集成如果您直接与贝宝集成,请执行以下步骤:00001NOTE:&如果您通过合作伙伴集成,则不需要采取进一步措施。我们正在与我们的合作伙伴合作解决SSL&3.0问题。(1).&将您的测试环境指向我们的Sandbox:/docs/classic/lifecycle/ug_sandbox/·&PayPal&Sandbox中已禁用SSL&3.0,如果您可以成功发出应用程序编程接口(API)请求,则表示您没有使用SSL&3.0。(2).&如果请求失败,请在日志中查看具体原因。·&如果您看到类似于以下的错误,则表示您正在使用SSL&3.0,您将需要配置安全连接,使其使用传输层安全(TLS)协议。*&Unknown&SSL&protocol&error&in&connection&to&api-3t.:-9824或者144:error:1408F10B:SSL&routines:SSL3_GET_RECORD:wrong&version&number:s3_pkt.c:337:...New,&(NONE),&Cipher&is&(NONE)Secure&Renegotiation&IS&NOT&supportedCompression:&NONEExpansion:&NONESSL-Session:Protocol:&SSLv3...2.&更新为TLS所有贝宝客户都需要尽快对客户端交互禁用SSL&3.0并升级到TLS。下表提供了使用常用语言和连接方法更新为TLS的基本操作原则。您的具体设置可能会有所不同……连接方法操作PayPal&SDK当前的PayPal软件开发工具包(SDK)版本或语言均不使用SSL&3.0。但是,由于Java和PHP&SDK最近已通过更新来解决此问题,所有使用这些SDK(或旧SDK)的商家都需要更新到最新版本。·&有关最新SDK版本的信息,请参见:http://paypal.github.io/sdk/API端点确保您正在使用TLS&1.0或&1.2(并不是所有API端点目前都支持TLS&1.1)连接到贝宝端点。根据您使用的语言设置TLS协议,具体参见下表。
PayPal&SDK
当前的PayPal软件开发工具包(SDK)版本或语言均不使用SSL&3.0。但是,由于Java和&SDK最近已通过更新来解决此问题,所有使用这些SDK(或旧SDK)的商家都需要更新到最新版本。
·&有关最新SDK版本的信息,请参见:
确保您正在使用TLS&1.0或&1.2(并不是所有API端点目前都支持TLS&1.1)连接到贝宝端点。根据您使用的语言设置TLS协议,具体参见下表。
在OpenSSL::SSL::SSLContext中设置TLS协议。
·&有关详细信息,请参见:
在ssl.SSLContext中设置TLS协议。
·&有关详细信息,请参见:
根据以下链接中的规定,使用正确的重新协商限制:
在Curl选项中,将CURLOPT_SSLVERSION设为CURL_SSLVERSION_TLSv1。
·&有关详细信息,请参见:
在javax.net.ssl.SSLContext中设置TLS协议。
·&有关详细信息,请参见:&
使用SecurityProtocolType&Tls。
·&有关详细信息,请参见:
3.&发放新凭证(可选)在您成功测试并升级到TLS之后,您可能需要为所有贝宝&API请求重新发放和下载新的API凭证。此步骤建议执行,但不是必须执行。请根据风险情况,为您的公司和客户做出决定。·&如果您使用的是证书验证,则无需采取措施。·&如果您使用的是签名验证,请参阅:/docs/classic/api/apiCredentials/·&如果您使用的是OAuth验证,请参阅:/docs/integration/admin/manage-apps/Paypal支付如何修复POODLE SSL 3.0漏洞1、找到zencart程序中Paypal应用程序编程接口(API)请求的Curl提交选项设置代码:具体路径为includesmodulespaymentpaypalpaypal_curl.php2、打开上述文件,在Curl选项中,将CURLOPT_SSLVERSION设为CURL_SSLVERSION_TLSv1或者为1。图下图所示:注:相关阅读请移步到, 频道。如何修复 POODLE SSLv3 安全漏洞_百度知道
如何修复 POODLE SSLv3 安全漏洞
提问者采纳
楼主你好建议腾讯电脑管家修复,安全到位,建议高危漏洞修复就可管家模拟国内用户环境严格测试的,是符合用户需求的部分,过滤了部分微软提供,但用户实际不需要补丁,例如正版校验补丁等, 请相信腾讯电脑管家的判断,修复我们提示的高危漏洞,全方位保护您电脑的安全
来自团队:
其他类似问题
为您推荐:
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁