網(wǎng)絡(luò)安全
3月2日消息,近日安全研究人員發(fā)現(xiàn)OpenSSL一個新的安全漏洞DROWN,這一漏洞可能使目前至少三分之一的HTTPS服務(wù)器癱瘓,受影響的HTTPS服務(wù)器數(shù)量大約為1150萬左右。
據(jù)OpenSSL安全公告,DROWN是一種跨協(xié)議攻擊,如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件,那么攻擊者就可利用這項(xiàng)技術(shù)來對服務(wù)器的TLS會話信息進(jìn)行破解。
此外需要注意的是,客戶端與不存在漏洞的服務(wù)器進(jìn)行通信時,攻擊者可以利用其他使用了SSLv2協(xié)議和EXPORT加密套件(即使服務(wù)器使用了不同的協(xié)議,例如SMTP,IMAP或者POP等協(xié)議)的服務(wù)器RSA密鑰來對上述兩者的通信數(shù)據(jù)進(jìn)行破解。
據(jù)國外媒體報道,在Alexa網(wǎng)站排名中排名靠前的網(wǎng)站都將有可能受到DROWN的影響,受影響的網(wǎng)站包括雅虎、新浪、阿里巴巴等在內(nèi)的大型網(wǎng)站。
根據(jù)公告,安全研究人員Nimrod Aviram和Sebastian Schinzel于2015年12月29日將這一問題報告給了OpenSSL團(tuán)隊(duì)。隨后,OpenSSL團(tuán)隊(duì)的Viktor Dukhovni和Matt Caswell共同開發(fā)出了針對此漏洞的修復(fù)補(bǔ)丁。
而隨著OpenSSL發(fā)布官方補(bǔ)丁,這一漏洞的詳細(xì)信息被公開,或?qū)⒂泄粽邥眠@一漏洞來對服務(wù)器進(jìn)行攻擊。
目前OpenSSL已針對該漏洞進(jìn)行更新,OpenSSL默認(rèn)禁用了SSLv2協(xié)議,并且移除了SSLv2協(xié)議的EXPORT系列加密算法。OpenSSL方面強(qiáng)烈建議用戶停止使用SSLv2協(xié)議。
OpenSSL是一個強(qiáng)大的安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議,并提供豐富的應(yīng)用程序供測試或其它目的使用。而由于OpenSSL的普及,導(dǎo)致其成為了DROWN攻擊的主要攻擊目標(biāo),但是它并也不是DROWN攻擊的唯一目標(biāo)。
2014年4月8日,OpenSSL的大漏洞曝光。這個漏洞被曝光的黑客命名為“heartbleed”,意思是“心臟流血”——代表著最致命的內(nèi)傷。利用該漏洞,黑客坐在自己家里電腦前,就可以實(shí)時獲取到約30%https開頭網(wǎng)址的用戶登錄賬號密碼,包括大批網(wǎng)銀、購物網(wǎng)站、電子郵件等。