在实行 TLS网络安全规约时发现一个漏洞,该漏洞影响启动RSA密码套件的TLS伺服器。攻击者要成为中间人(man-in-the-middle)以收集客户端与受影响TLS伺服器之间的网络流量从而攻击这个漏洞。该漏洞让攻击者如使用了TLS伺服器的密匙般来进行RSA解密以及签署程序。
漏洞影响至少以上列出的9个供应商。其他供应商的产品亦可能受此漏洞所影响。
成功攻击这些漏洞可导致受影响的系统泄漏资讯或其身分被冒认。
以上列出的9个供应商已发行了修补程式以应对这个漏洞。系统管理员应向产品供应商查询其TLS服务器是否受影响及修补程式的情况。若修补程式已提供,应遵从产品供应商的建议,立即采取行动以降低风险。以下连结列出目前受影响的供应商及其修补的情况:
http://www.kb.cert.org/vuls/id/144389
系统管理员应采用临时措施,若产品能在使用其他没有受影响的密码套件下运作,便应停用所有前缀为「TLS_RSA」的密码套件。请注意名称包含「DHE」或「ECDHE」的RSA签署的密码套件则不受影响。
https://robotattack.org/
http://www.kb.cert.org/vuls/id/144389
https://support.f5.com/csp/article/K21905460
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20171212-bleichenbacher
https://support.citrix.com/article/CTX230238