漏洞描述：

新一代的POOLE漏洞来袭，继今年10月份POOLE(基于SSL 3.0)漏洞，本次漏洞影响同样广泛，

并且攻击者利用成本比上一次更便利，

漏洞起因是由于TLS1.2没有正确校验PADDING,导致攻击者即使不先降级到SSL3.0，也能通过TLS1.2，

用中间人攻击方法绕过传输层加密机制，窃取用户的敏感信息，例如cookies信息，帐号信息等，

这种攻击在咖啡馆环境或局域网环境影响巨大，攻击者只要发送256个请求，就能覆盖到一个cookie中的敏感字符，

或者发送4096个请求，就能覆盖到cookie中的16个敏感字符，

所以建议普通用户及时更新浏览器版本，站长及厂商更新相应设备的补丁，

除了HTTPS商业，政府网站，目前已确定F5,A10,HP等网络设备均受影响，其他的网络设备的安全情况，我们会进一步的跟踪。

在线测试地址：

https://www.ssllabs.com/ssltest/

下面以某网站为例:

如果您看到This server is vulnerable to the POODLE attack against TLS servers. Patching required.提示，则证明受此网站受此漏洞影响

补丁：

使用F5设备的用户，可以手动通过登陆tmsh配置设备降低风险，或者下载补丁（https://downloads.f5.com/esd/index.jsp）

https://support.f5.com/kb/en-us/solutions/public/15000/800/sol15882.html

使用HP设备的用户，可以通过下面网站下载相应的补丁

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01264593  HP企业版用户

https://softwaresupport.hp.com/group/softwaresupport/search-result/-/facetsearch/document/KM01252141  HP云用户

参考文章：

http://bobao.360.cn/news/detail/1013.html

https://devcentral.f5.com/articles/cve-2014-8730-padding-issue-8151

http://www.computerworld.com/article/2857274/security0/poodle-flaw-tls-itbwcw.html

http://arstechnica.com/security/2014/12/meaner-poodle-bug-that-bypasses-tls-crypto-bites-10-percent-of-websites/

个人用户

针对个人上网用户，我们建议您使用最新版浏览器，不要再使用IE6，及时更新到IE11或IE12，如果您是低版本的FireFox或Chrome用户，可以通过下面的配置禁止SSL3.0和TLS1.2，临时降低风险

1）IE低版本用户：

打开浏览器，选择工具->Internet选项->高级->把“USE SSL 3.0”选项去掉

2）FIREFOX低版本用户：

在浏览器地址栏输入 about:config，将

security.tls.version.max 设置为 3

security.ssl3.rsa_fips_des_ede3_sha 设置为 false

3）Chrome低版本用户：

右键点击CHORME图标，输入--ssl-version-min=tls1 -- "%1"，如下图：

【本文来源：360播报  SP主编编辑发布】