安全公告编号:CNTA-2014-0036

12月10日，CNVD收录了安全传输层协议TLS 1.2存在的一个中间人攻击漏洞（CNVD-2014-08824，对应CVE-2014-8730），该漏洞与此前披露SSL V3“POODLE”（中文名：贵宾犬）漏洞攻击原理相同，允许攻击者利用中间人攻击方法绕过传输层加密机制，窃取用户的敏感信息，例如cookies信息，帐号信息等。根据厂商自查结果，F5、A10等知名厂商网络设备受到漏洞影响，目前厂商已经提供了修复补丁。

一、漏洞情况分析

TLS（Transport Layer Security）安全传输层协议，用于在两个通信应用程序之间提供保密性和数据完整性。这种安全协议建立在SSL协议规范之上。近期，TLS 1.2被披露存在一个中间人攻击漏洞，该漏洞产生的原因是TLS 1.2未能正确校验PADDING，导致终止TLS 1.x CBC密码链接的时候，接收不正确的TLS PADDING，允许攻击者用中间人的攻击方法绕过传输层加密机制，窃取用户的敏感信息。CNVD对该漏洞的技术评级为“中危”，但漏洞攻击威胁有可能存在于网络设备相邻网络区域内（内部网络），对企业级用户造成广泛影响。

二、漏洞影响范围

目前相关厂商发布公告确认F5,A10等网络设备受到该漏洞影响，CNVD会进一步的跟踪其他的网络设备是否受影响的情况。根据披露的相关情况，下表所示为F5设备的具体影响版本及未受影响版本，如下所示：

Product	Versions known to be vulnerable	Versions known to be not vulnerable	Vulnerable component or feature
BIG-IP LTM	11.0.0 - 11.5.1 10.0.0 - 10.2.4	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9 11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP AAM	11.4.0 - 11.5.1	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9	SSL profiles
BIG-IP AFM	11.3.0 - 11.5.1	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9	SSL profiles
BIG-IP Analytics	11.0.0 - 11.5.1	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9 11.2.1 HF13	SSL profiles
BIG-IP APM	11.0.0 - 11.5.1 10.1.0 - 10.2.4	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9 11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP ASM	11.0.0 - 11.5.1 10.0.0 - 10.2.4	11.6.0 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9 11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP Edge Gateway	11.0.0 - 11.3.0 10.1.0 - 10.2.4	11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP GTM*	None	11.0.0 - 11.6.0 10.0.0 - 10.2.4	None
BIG-IP Link Controller*	None	11.0.0 - 11.6.0 10.0.0 - 10.2.4	None
BIG-IP PEM	11.3.0 - 11.6.0	11.6.0 HF3 11.5.1 HF6 11.5.0 HF6 11.4.1 HF6 11.4.0 HF9	SSL profiles
BIG-IP PSM	11.0.0 - 11.4.1 10.0.0 - 10.2.4	11.4.1 HF6 11.4.0 HF9 11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP WebAccelerator	11.0.0 - 11.3.0 10.0.0 - 10.2.4	11.2.1 HF13 10.2.4 HF10	SSL profiles
BIG-IP WOM	11.0.0 - 11.3.0 10.0.0 - 10.2.4	11.4.1 HF6 11.4.0 HF9 11.2.1 HF13 10.2.4 HF10	SSL profiles
ARX	None	6.0.0 - 6.4.0	None
Enterprise Manager*	None	3.0.0 - 3.1.1 2.1.0 - 2.3.0	None
FirePass	None	7.0.0 6.0.0 - 6.1.0	None
BIG-IQ Cloud	4.0.0 - 4.4.0	None	REST API
BIG-IQ Device	4.2.0 - 4.4.0	None	REST API
BIG-IQ Security	4.0.0 - 4.4.0	None	REST API
LineRate	None	2.2.0 - 2.5.0 1.6.0 - 1.6.4	None

三、漏洞处置建议

目前F5、HP等设备厂商已经提供了TLS1.2的补丁升级程序，建议相关用户参考以下链接及时下载更新：

1、使用F5设备的用户，可以手动通过登陆tmsh配置设备降低风险，或者下载补丁链接：　

https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html

2、使用HP设备的用户，可以通过下面网站下载相应的补丁：

1）HP企业版用户

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01264593

2）HP云用户

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01252141

参考链接：

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-8730

https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html

https://www.imperialviolet.org/2014/12/08/poodleagain.html

http://www.cnvd.org.cn/webinfo/show/3518

http://www.cnvd.org.cn/flaw/show/CNVD-2014-08824