思科两款产品曝贵宾犬漏洞
作者:星期三, 十二月 17, 20140

01

两款思科产品易遭到“贵宾犬”漏洞攻击,分别是防火墙管理软件(Cisco ASA)和应用程序控制引擎模块(ACE)。

10月份由谷歌安全研究人员发现的贵宾犬漏洞,可以强迫存在漏洞的Web服务器从目前主流的加密协议TLS切换到旧的通信协议SSLv3,在某些情况下SSLv3可以被解密。最初,研究人员认为该攻击只对SSLv3有效,但上周谷歌的亚当·兰格利声称一些使用TLS协议的产品也受到影响,比如F5网络和A10网络二家公司的产品。

思科官方于本周一表示,它的产品存在类似的问题。“在使用TLSv1协议的产品中存在一个漏洞。它允许未认证的攻击者,远程访问敏感信息,”思科的安全通告中写道。“该漏洞是由于在TLSv1协议中,使用密码块链接(CBC)模式时,不恰当的密码块填充引起的。攻击者可利用这个漏洞执行对加密信息的‘oracle padding’边信道攻击,攻击成功后可以访问到敏感信息。”

此外,思科的这则安全通告并没有提及是否有解决该漏洞的补丁。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章