OpenSSL刚刚宣布了内存例程中的另一个新漏洞。 您可以在这里阅读所有内容: https : //www.openssl.org/news/secadv_20141015.txt
解决方法是禁用SSLv3。
不,它不会破坏HTTPS连接到您的网站; TLSv1(以及更新的版本,如果你的软件已经足够新的话)已经被几乎所有的浏览器(除了Windows XP上的IE6的明显例外)所使用。
validation您的configuration中是否启用了TLSv1,但几乎在每个服务器端SSLconfiguration中都是默认的。
是的,你应该禁用SSLv3。 Poodle的作品,因为如果TLS失败,浏览器将尝试使用较旧的协议,如SSLv3。 一个MITM可以滥用这个(除非客户端和服务器支持新的TLS SCSV,只有Chrome支持atm)。 有关Poodle攻击的详细信息,请参阅https://security.stackexchange.com/q/70719
SSLv3在几个方面被打破了 ,解决这个问题的最好方法就是禁用它,因为它在15年前被TLS所取代。 如果您在网站上使用SSLv3,并且您不关心XP上的IE6(XP上的IE7是好的),您应该安全地禁用它。
禁用SSLv3的可行性正在讨论一个相关的问题: Poodle:在服务器上禁用SSL V3真的是一个解决scheme吗?
当您处于这种状态时,您可能需要在自己的网站上运行testing,看看是否还有其他问题: https : //www.ssllabs.com/ssltest/