TLS1。2协议现漏洞NewZombiePOODLEAttack应对建议

　　感谢ikimi的投递
　　2014年一个主要的设计缺陷在旧的SSL 3.0加密协议中发现并修补，该协议暴露了所谓的POODLE攻击的安全会话，并没有真正消亡：一位研究人员在新的TLS中发现了两个新的相关漏洞1.2加密协议。  研究人员Craig Young将在今年3月在新加坡的 Black Hat Asia 会议上详细介绍他的发现，目前拒绝透露正在开发补丁的其他供应商，但他表示，这些产品包括Web应用防火墙，负载平衡器和远程访问SSL VPN。
　　Craig Young 已将两个新的缺陷命名为 Zombie POODLE 和GOLDENDOODLE（CVE）。使用Zombie POODLE，  他能够在Citrix负载均衡器中恢复POODLE攻击，  并对一些尚未完全根除过时加密方法的系统上的POODLE攻击进  行微调。与此同时，GOLDENDOODLE是一种类似的攻击，  但具有更强大，更快速的加密黑客攻击性能。Young警告说，  即使供应商完全消除了原有的POODLE缺陷，  它仍然可能容易受到GOLDENDOODLE攻击。
　　此攻击所需条件：
　　1、HTTPS服务端使用了CBC密码套件；
　　2、在被攻击客户端和被攻击 服务器 之间创建中间人通道MITM，  如建立恶意WiFi热点，或者劫持路由器等中间网络设备；
　　3、攻击者通过植入用户访问的非加密 网站 上的代码，  将恶意JavaScript注入受害者的浏览器；
　　4、恶意脚本构造特定的HTTPS请求加密网站，  结合中间人旁路监听加密数据，  多次请求后即可获得加密数据中的Cookie和凭证。
　　如何防范与应对？
　　1、确保全站HTTPS完整性，杜绝引入不安全的外链（  HTTP脚本资源，尤其是JavaScript脚本） ，可以通过一些SSL站点安全检测服务（如MySSL企业版）  进行不安全外链监控；
　　2、检查服务器，避免使用RC4和CBC等不安全密码套件，通过MySSL.com检测，发现支持的加密套件中避免出现弱密码和包含CBC的密码套件；
　　3、涉及机密或者重要商业数据的系统加强异常状况监测和巡查，并保持符合HTTPS最佳安全实践。
　　参考阅读： https://www.darkreading.com/vulnerabilities---threats/new-zombie-poodle-attack-bred-from-tls-flaw/d/d-id/1333815
　　【来源：cnBeta.COM】