今天上午，Google發(fā)布了一份關(guān)于SSLv3漏洞的簡要分析報告。根據(jù)Google的說法，該漏洞貫穿于所有的SSLv3版本中，利用該漏洞，黑客可以通過中間人攻擊等類似的方式(只要劫持到的數(shù)據(jù)加密兩端均使用SSL3.0)，便可以成功獲取到傳輸數(shù)據(jù)(例如cookies)。截止到發(fā)文前，還沒有任何補(bǔ)丁放出來。

[[121247]]

對此Google表示，他們只能給出一個無奈的建議：關(guān)閉客戶端SSLv3支持或者服務(wù)器SSLv3支持或者兩者全部關(guān)閉。

另外，Google已經(jīng)明確表態(tài)將在接下來的數(shù)月中，逐步從其服務(wù)中撤銷掉SSLv3的支持。

FreeBuf修復(fù)建議(感謝紅黃滿提供)：

Nginx：

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;

ssl_session_timeout 5m;

ssl_session_cache builtin:1000 shared:SSL:10m;

Apache:

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS

報告原文地址

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html?m=1