山石网科关于SSLv3 POODLE攻击信息泄露漏洞(CVE-2014-3566)的声明


【漏洞说明】
SSL协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器会优先协商使用最新的协议版本,若协商失败,则再尝试协商较旧的协议版本。为了通用性的考虑,目前多数浏览器版本都支持SSLv3,就使得攻击者有机会干扰客户端和服务器之间的SSL版本协商,让客户端与服务器使用SSLv3进行通信。此时,由于SSLv3使用了较弱的加密算法,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

【严重程度】
此漏洞影响绝大多数SSL服务器和客户端,影响范围广泛。但攻击者如要利用成功,需要能够控制客户端和服务器之间的数据(执行中间人攻击),难度较大,因此危险级别为“中”。

【山石网科声明】
1、 山石网科M/G/X/T系列产品有用到SSLv3,但已发布新软件版本进行修复,如用户担心此漏洞的影响,请联系山石网科的售后服务热线400-828-6655转2帮助升级版本。
2、 山石网科X86服务器类产品HSM/HSA未使用SSLv3,不受影响。
3、 山石网科NIPS产品未使用SSLv3,不受影响。
4、 山石网科WAF产品有用到SSLv3,但已发布补丁进行修复,如用户担心此漏洞的影响,请联系山石网科的售后服务热线400-828-6655转2帮助打补丁。