OpenSSL的drown漏洞:超过1100万的OpenSSL的HTTPS网站存在风险

安全 作者:尖刀制造 2016-03-02 03:06:40
前言:OpenSSL的drown漏洞允许攻击者破坏加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。安妮儿紧急的翻译了Swati Khandelwal的这篇文章,希望对伙伴们有所帮助,由于时间紧急,翻译不足之处请见谅。
OpenSSL的drown漏洞
OpenSSL爆出了一种新的致命的安全漏洞,影响超过1100万的网站和SSLv2,SSLv2一个古老的协议,虽然现在许多客户端已经不支持使用SSLv2。 之所以被称为drown,是因为drown影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。drown允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 安全研究人员称:
“我们已经可以用一台PC在一分钟内对CVE-2016-0703的OpenSSL版本进行攻击。即使没有这些特定漏洞的服务器,攻击一般的变体,其中对任何的SSLv2服务器,以440美元的总成本低于8个小时进行。”
什么是drown攻击?它是如何滥用的SSLv2攻击TLS?
drown代表“解密RSA与过时,削弱了加密。” drown攻击威胁到还在支持SSLv2的服务端和客户端,他允许攻击者通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。 “如果你网站的证书或密钥用于其他支持SSLv2的服务器上的话,是同样存在风险的,”安全研究人员指出。 “常见的例子包括SMTP,IMAP和POP邮件服务器,并用于特定的Web应用程序的二次HTTPS服务器。” drown攻击可能允许攻击者通过发送特制的恶意数据包发送到服务器,或者证书另一个服务器上的共享,有可能进行中间人(MITM)攻击来解密HTTPS连接。
OpenSSL-drown波及范围
33%以上的HTTPS服务器都容易受到drown攻击。 虽然致命的缺陷影响了全世界多达11.5万台服务器,有的Alexa的顶级网站,包括雅虎,阿里巴巴,新浪微博,新浪网,BuzzFeed、Flickr,StumbleUpon 4Shared 和三星,都可能遭受drown基础的MITM攻击。 除了开源的OpenSSL,微软的Internet信息服务(IIS)7及更早版本,以及之前的3.13版本的网络安全服务(NSS)加密库内置到很多的服务器产品也开放给drown攻击。
如何测试OpenSSL的drown漏洞?
可以通过https://test.drownattack.com/?site=你的站点来查看是否受影响。 不过,好消息是,学术研究人员发现:OpenSSL已经提供了漏洞补丁。https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/ 坏消息是,drown攻击只需不到一分钟时间进行,现在该错误已被披露,黑客们可以积极地去攻击受影响的服务器了。
如何保护自己

OpenSSL 1.0.2用户强烈建议升级到OpenSSL的1.0.2g,OpenSSL的1.0.1的用户建议升级到OpenSSL的1.0.1s。如果您使用的是另一个版本的OpenSSL的安全,你应该移动到较新的版本1.0.2g或1.0.1s。

为了保护自己不受drown攻击,你应该确保的SSLv2被禁用,以及确保私钥不会在任何其它服务器共享。 那些已经易受drown攻击并不需要重新核发证书,但建议采取行动,以防止立即攻击。 事实上,“安全”的服务器也被黑客攻破,因为它们是在同一个网络脆弱的服务器上。通过使用Bleichenbacher的攻击,私有RSA密钥可以被解密,这导致解锁使用相同的私钥“安全”的服务器。 你可以找到更多的技术细节和drown攻击网站顶部脆弱的网站的列表。 此外,马修•格林,约翰霍普金斯大学和著名密码学家教授也发表了一篇博客文章,解释如何drown。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接