关键信息 漏洞编号: BEAST, CVE-2011-3389 漏洞名称: HTTPS: Block-wise Chosen-Plaintext Attack Against SSL/TLS (BEAST) 报告日期: 2011-09-12 状态: Closed ERRATA 产品: Security Response 关键词: security 优先级: Medium 严重性: Medium 漏洞描述 该漏洞是在 SSL/TLS 1.0 协议中发现的,攻击者可以利用该协议中的某些加密模式(CBC 模式)的相关缺陷,通过恶意的 JavaScript 或 WebSocket 实现 B.E.A.S.T.攻击,从而解密 HTTPS 请求中的敏感信息(如身份验证令牌和 Cookie)。 缓解措施 使用更高版本的 TLS: TLS 1.1 或 TLS 1.2 不受此攻击影响,应优先选择这些版本。 禁用 CBC 密码: 限制使用的密码套件,仅允许流密码。 配置 HTTPD 的 mod_ssl: 使用特定的配置(如 SSLHonorCipherOrder On 和 SSLCipherSuite RC4-SHA:HIGH:!NULL)来配置 mod_ssl 的 HTTPD 版本在 Red Hat Enterprise Linux 4 中不可用。 影响的产品和补丁 Red Hat Enterprise Linux 各个版本的 java-1.6.0-ibm、java-1.4.2-ibm-sap、java-1.6.0-sun、java-1.6.0-openjdk 等已在不同的安全公告中进行了修复。 Fedora 也发布了相关的补丁。