請以左右鍵切換緣起弱點說明(最左邊)、影響範圍(左邊)、檢測方式(中間)、檢測工具(右邊)、防護建議(最右邊)之頁籤
美國國家標準技術研究所(NIST)的國家弱點資料庫(NVD)發布弱點編號CVE-2015-0204、CVE-2015-1067、CVE-2015-1637及CVE-2015-4000。
當伺服器SSL/TLS加密協定支援EXPORT加密演算法時,攻擊者可利用中間人攻擊修改ClientHello與ServerHello封包,將金鑰加密演算法降階為較弱的EXPORT演算法;增加駭客破解金鑰交換加密演算法以取得加密金鑰的危險,進而還原加密封包,以取得通訊內容。
漏洞資訊
漏洞編號:CVE-2015-0204、CVE-2015-1067、CVE-2015-1637 (MS-15-031)(FREAK)及CVE-2015-4000(LogJam)
影響系統版本:伺服器SSL/TLS加密協定支援EXPORT加密演算法
可能風險:
-
攻擊者可利用中間人攻擊破解金鑰交換加密演算法以取得加密金鑰的危險,進而還原加密封包,以取得通訊內容。
更新時間:2015/6/18
Logjam&Freak漏洞影響範圍針對伺服器SSL/TLS加密協定支援EXPORT加密演算法皆可能受到影響,技服中心蒐集受影響之相關軟體設備資訊,提供機關組織參考。
-
Microsoft IIS
-
Apache Tomcat
-
Nginx
-
Sendmail
-
Dovecot IMAP
-
HAProxy
-
IPSec
-
OpenSSH
-
BoringSSL
-
LibReSSL
-
Mono
-
IBM JSSE
-
SecureTransport
-
SChannel
-
Microsoft Internet Explorer
-
Mozilla Firefox
-
Apple Safari
-
Opera Browser
-
Android Browser
-
Blackberry Browser
以上所提及的平台僅是常見的平台,只要伺服器SSL/TLS加密協定支援EXPORT加密演算法皆可能受到影響
針對CVE-2015-0204、CVE-2015-1067、CVE-2015-1637 (MS-15-031)(FREAK)及CVE-2015-4000(LogJam)可能產生之資安影響,提供下列檢測與改善建議供各機關參考。本參考指引提供檢測方法,協助各機關檢測現有加密通道中,是否有提供不安全的金鑰交換加密演算法。以下檢測方式將提供OpenSSL與NMAP工具,各機關可自行依照需求,採用合適檢測方式。
改善建議
SSL/TLS加密協定演算法中存在安全漏洞,因此建議各機關停用不安全的金鑰交換加密演算法。請各機關檢視所屬平台所支援的金鑰交換加密演算法,是否關閉EXPORT演算法,採用安全性較高的ECDHE(Elliptic Curve Diffie-Hellman Ephemeral)演算法,其常見的平台檢測方式與修補方式請參考「 EXPORT檢測與修補方式」,本附件提供 IIS、Apache、Tomcat、Sun GlassFish 平台修補方式。
備註
-
本附件提供幾項常見平台修補方式,其餘常見平台敬請參考各平台之官方網站。
-
因各瀏覽器目前尚未提供官方的解決方法,因此將持續追蹤該項目,待資訊完整後,將另外補上client端建議措施。