OpenSSL曝新漏洞 超1100萬HTTPS站點(diǎn)受影響

責(zé)任編輯:editor005

作者:稱賀

2016-03-02 15:02:56

摘自:鳳凰科技

3月2日消息,近日安全研究人員發(fā)現(xiàn)OpenSSL一個新的安全漏洞DROWN,這一漏洞可能使目前至少三分之一的HTTPS服務(wù)器癱瘓,受影響的HTTPS服務(wù)器數(shù)量大約為1150萬左右。

  網(wǎng)絡(luò)安全

3月2日消息,近日安全研究人員發(fā)現(xiàn)OpenSSL一個新的安全漏洞DROWN,這一漏洞可能使目前至少三分之一的HTTPS服務(wù)器癱瘓,受影響的HTTPS服務(wù)器數(shù)量大約為1150萬左右。

據(jù)OpenSSL安全公告,DROWN是一種跨協(xié)議攻擊,如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件,那么攻擊者就可利用這項(xiàng)技術(shù)來對服務(wù)器的TLS會話信息進(jìn)行破解。

此外需要注意的是,客戶端與不存在漏洞的服務(wù)器進(jìn)行通信時,攻擊者可以利用其他使用了SSLv2協(xié)議和EXPORT加密套件(即使服務(wù)器使用了不同的協(xié)議,例如SMTP,IMAP或者POP等協(xié)議)的服務(wù)器RSA密鑰來對上述兩者的通信數(shù)據(jù)進(jìn)行破解。

據(jù)國外媒體報道,在Alexa網(wǎng)站排名中排名靠前的網(wǎng)站都將有可能受到DROWN的影響,受影響的網(wǎng)站包括雅虎、新浪、阿里巴巴等在內(nèi)的大型網(wǎng)站。

根據(jù)公告,安全研究人員Nimrod Aviram和Sebastian Schinzel于2015年12月29日將這一問題報告給了OpenSSL團(tuán)隊(duì)。隨后,OpenSSL團(tuán)隊(duì)的Viktor Dukhovni和Matt Caswell共同開發(fā)出了針對此漏洞的修復(fù)補(bǔ)丁。

而隨著OpenSSL發(fā)布官方補(bǔ)丁,這一漏洞的詳細(xì)信息被公開,或?qū)⒂泄粽邥眠@一漏洞來對服務(wù)器進(jìn)行攻擊。

目前OpenSSL已針對該漏洞進(jìn)行更新,OpenSSL默認(rèn)禁用了SSLv2協(xié)議,并且移除了SSLv2協(xié)議的EXPORT系列加密算法。OpenSSL方面強(qiáng)烈建議用戶停止使用SSLv2協(xié)議。

OpenSSL是一個強(qiáng)大的安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議,并提供豐富的應(yīng)用程序供測試或其它目的使用。而由于OpenSSL的普及,導(dǎo)致其成為了DROWN攻擊的主要攻擊目標(biāo),但是它并也不是DROWN攻擊的唯一目標(biāo)。

2014年4月8日,OpenSSL的大漏洞曝光。這個漏洞被曝光的黑客命名為“heartbleed”,意思是“心臟流血”——代表著最致命的內(nèi)傷。利用該漏洞,黑客坐在自己家里電腦前,就可以實(shí)時獲取到約30%https開頭網(wǎng)址的用戶登錄賬號密碼,包括大批網(wǎng)銀、購物網(wǎng)站、電子郵件等。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號