在實行 TLS網絡安全規約時發現一個漏洞,該漏洞影響啟動RSA密碼套件的TLS伺服器。攻擊者要成為中間人(man-in-the-middle)以收集客戶端與受影響TLS伺服器之間的網絡流量從而攻擊這個漏洞。該漏洞讓攻擊者如使用了TLS伺服器的密匙般來進行RSA解密以及簽署程序。
漏洞影響至少以上列出的9個供應商。其他供應商的產品亦可能受此漏洞所影響。
成功攻擊這些漏洞可導致受影響的系統泄漏資訊或其身分被冒認。
以上列出的9個供應商已發行了修補程式以應對這個漏洞。系統管理員應向產品供應商查詢其TLS伺服器是否受影響及修補程式的情況。若修補程式已提供,應遵從產品供應商的建議,立即採取行動以降低風險。以下連結列出目前受影響的供應商及其修補的情況:
http://www.kb.cert.org/vuls/id/144389
系統管理員應採用臨時措施,若產品能在使用其他沒有受影響的密碼套件下運作,便應停用所有前綴為「TLS_RSA」的密碼套件。請注意名稱包含「DHE」或「ECDHE」的RSA簽署的密碼套件則不受影響。
https://robotattack.org/
http://www.kb.cert.org/vuls/id/144389
https://support.f5.com/csp/article/K21905460
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171212-bleichenbacher
https://support.citrix.com/article/CTX230238