POODLE:SSLv3 漏洞 问题:漏洞与防护 Lenovo 安全公告:LEN-2014-007 潜在影响:未经授权的访问;中间人(MitM)攻击 重要性:中 摘要: Lenovo 公开宣布,一个名为 POODLE 的安全漏洞仅会对少量的连网设备带来影响。但是,该漏洞非常严重,攻击者可能会利用此漏洞读取加密信息,甚至是在通过 SSL 连接进行传输时也不例外。Lenovo 为您列出了相关步骤,可帮助您进行自我保护。 解决方案: 应采取哪些措施进行自我保护: 将浏览器升级到您的 IT 组织支持的最新版本。如果正在使用 Internet Explorer 6,请改用更先进且版本受支持的浏览器。 禁用浏览器内的 SSLv3 支持。可转至此处,查找 SSLv3“Yes”,从而查看浏览器是否容易遭受攻击。要禁用 SSLv3 支持,请进行以下更改并重新启动浏览器: Mozilla Firefox 打开 about:config,找到 security.tls.version.min 并将值设置为 1。 Google Chrome 较新的 Chrome 版本支持 TLS_FALLBACK_SCSV,从而能够缓解这一问题。 可通过发出命令行命令 ssl-version-min=tls1 来显式禁用 SSLv3 支持。可在此处找到关于使用命令行标记的进一步说明。 Internet Explorer 转至“Internet 选项”下的“高级”选项卡,然后取消选中 SSLv3。 使用可用工具,对您的基础结构进行扫描,以查找是否存在此漏洞。Tinfoil Security 和 SSL Labs 提供了两种可用工具。 对通过发送电子邮件向您的设备安装补丁的投机钓鱼者提高警惕。请勿点击看似可疑的链接。 一般来讲,减少恶意攻击者可利用的表面积不失为一种好的做法,因此在可能的情况下,请禁用 Web 服务器等不必要的服务。 如果您无法禁用使用 SSLv3 的 Web 服务器,请应用网络分段和适当的访问控制列表来限制远程访问,从而最大程度降低影响。 请查看下方的“产品影响”列表,并更新适用的固件。 ThinkPad、ThinkCentre 和 ThinkStation 产品应更新 Intel Management Engine(ME)固件 ThinkServer 产品应更新底板管理控制器(BMC)固件 LenovoEMC 应更新 Lifeline 软件 软件应用程序应更新到建议版本 产品影响: ThinkPad 系统 状态 最低 Intel Management Engine 固件版本, 包括修复程序 链接 ThinkPad Edge E130 未受影响 ThinkPad Edge E145 未受影响 ThinkPad Edge E431/E531 未受影响 ThinkPad Edge E440/E540 未受影响 ThinkPad Edge E455/E555 未受影响 ThinkPad Edge S430 未受影响 ThinkPad Helix(20CG、20CH) 受到影响 ME FW 10.0.38.1000 http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-helix-series-laptops/thinkpad-helix-type-20cg-20ch/downloads/DS101498 ThinkPad Helix(3xxx) 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-helix-series-laptops/thinkpad-helix-type-3xxx/downloads/DS032435 ThinkPad L430/L530 未受影响 ThinkPad L440/L540 未受影响 ThinkPad S1 Yoga(非 vPro) 未受影响 ThinkPad S1 Yoga(vPro) 未受影响 ThinkPad S431 未受影响 ThinkPad S440 未受影响 ThinkPad S531 未受影响 ThinkPad S540 未受影响 ThinkPad T430 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/downloads/DS032435 ThinkPad T430i/T430s/T430si 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/downloads/DS032435 ThinkPad T430u 未受影响 ThinkPad T431s 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/downloads/DS032435 ThinkPad T440/T440s 受到影响 ME FW 9.5.45.1922 http://support.lenovo.com/us/en/downloads/DS038194 ThinkPad T440p 受到影响 ME FW 9.1.25.1005 http://support.lenovo.com/us/en/downloads/DS037583 ThinkPad T530/T530i 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/downloads/DS032435 ThinkPad T540p 受到影响 ME FW 9.1.25.1005 http://support.lenovo.com/us/en/downloads/DS037583 ThinkPad Tablet 10(32 位) 未受影响 ThinkPad Tablet 10(64 位) 未受影响 ThinkPad Tablet 2 未受影响 ThinkPad Tablet 8(32 位) 未受影响 ThinkPad Tablet 8(64 位) 未受影响 ThinkPad Twist/Edge S230 未受影响 ThinkPad W530 受到影响 ME FW 8.1.60.1561 http://support.lenovo.com/us/en/downloads/DS032435 ThinkPad W540 受到影响 ME FW 9.1.25.1005 http://support.lenovo.com/us/en/downloads/DS037583 ThinkPad W550s 受到影响 ME FW 10.0.38.1000 http://support.lenovo.com/us/en/downloads/DS101498 ThinkPad X1 Carbon(20A7、20A8) 受到影响 ME FW 9.5.45.1922 http://support.lenovo.com/u
POODLE:SSLv3 漏洞-联想乐享知识库
⚡ 核心结论
本文来源联想官方,解答关于 POODLE:SSLv3 漏洞 的常见问题,包括:ThinkPad Helix(20CG、20CH)如何禁用 SSLv3 并修复 POODLE 漏洞、ThinkServer 产品为什么仍存在 SSLv3 安全风险等。
内容来源:联想官方
常见问题解答
ThinkPad Helix(20CG、20CH)如何禁用 SSLv3 并修复 POODLE 漏洞
ThinkPad Helix(20CG、20CH)受 POODLE 漏洞影响,需同步执行固件升级与协议禁用。首先升级 Intel Management Engine(ME)固件至 10.0.38.1000 版本,下载地址:http://support.lenovo.com/us/en/products/laptops-and-netbooks/thinkpad-helix-series-laptops/thinkpad-helix-type-20cg-20ch/downloads/DS101498。安装后重启。其次禁用浏览器 SSLv3:Firefox 用户打开 about:config,搜索 security.tls.version.min 并设为 1;Chrome 用户启动时添加 --ssl-version-min=tls1 参数;IE 用户在‘Internet 选项→高级’中取消勾选‘SSL 3.0’。禁用后必须重启浏览器生效。注意:切勿通过邮件链接安装所谓‘补丁’,谨防钓鱼攻击。
ThinkServer 产品为什么仍存在 SSLv3 安全风险
ThinkServer 产品存在 SSLv3 安全风险,根本原因是其底板管理控制器(BMC)固件中默认启用 SSLv3 协议,而 POODLE 漏洞可被攻击者利用实施中间人攻击,解密 BMC 管理通信中的敏感信息(如登录凭证)。该风险与 BMC 固件版本相关,并非所有型号均受影响,但未更新固件的设备持续暴露于威胁之下。Lenovo 要求用户更新 BMC 固件以禁用 SSLv3 或强制使用 TLS 1.0+;若暂无法更新,须通过网络分段和访问控制列表(ACL)严格限制 BMC 的远程访问权限,避免暴露在不可信网络中。