首页 > 外闻 > 关键词 > openssl最新资讯 > 正文

OpenSSL又出新漏洞,超过1100万https站点受影响

2016-03-02 13:04 · 稿源:FreeBuf黑客与极客

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。

影响超过1100万网站

我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。

发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右。

那么,DROWN到底有多么恐怖呢?在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

FreeBuf 百科:OpenSSL

OpenSSL 是一个强大的安全套接字层密码库,其囊括了目前主流的密码算法,常用的密钥,证书封装管理功能以及SSL协议,并提供了丰富的应用程序可供开发人员测试或其它目的使用。

由于OpenSSL的普及,导致这一开源的安全工具成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。

微软的互联网信息服务(IIS)v7已经过时了,而且这项服务在此之前还曾曝出过漏洞,但是微软的工作人员已经解决了IIS中的安全问题。但是2012年之前发布的3.13版本网络安全服务(NSS)(一款内嵌于大量服务器产品中的通用加密代码库)仍然存在漏洞,所以运行了上述版本NSS工具的服务器仍然有可能受到黑客的攻击。

漏洞检测及安全建议

用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。

无论在何种情况下,如果你使用了OpenSSL来作为你的安全保护工具,而且目前大多数人也确实是这样的,那么我们的建议如下:

 使用了OpenSSL 1.0.2的用户应该立刻将OpenSSL更新至1.0.2g

 使用了OpenSSL1.0.1的用户应该立刻将OpenSSL更新至1.0.1s;

如果用户使用的是其他版本的OpenSSL,那么请用户立即将产品版本更新至1.0.2g或者1.0.1s。

如果你使用的是其他的程序,那么你早就应该将你所使用的ISS和NSS更新至最新版本了。如果你现在还没有这样做,那么也没有什么好惭愧的,赶紧动手去做就可以了。

当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

研究人员的描述称

“在研究的过程中,我们曾尝试对一台单一的服务器进行攻击。服务器中加载了含有漏洞CVE-2016-0703的OpenSSL,然后我们便在不到一分钟的时间里成功地入侵了这台服务器。即使服务器本身不存在这些特殊的漏洞,但是攻击方法永远都会处于发展之中,所以DROWN攻击的变种还可以对使用了SSLv2协议的服务器进行攻击,整个攻击过程不会超过八个小时,攻击成本大约在440美金左右。”

也许你会觉得奇怪,在过去的20年时间里,SSLv2协议的安全性是得到了大家普遍认可的,为什么就连这样的一种协议都有可能受到这一漏洞的影响?研究人员认为

“即便是服务器仅仅启用了SSLv2协议,而且也没有合法用户使用过这一协议,但服务器和客户端仍然有可能遭受到DROWN攻击。”

研究人员补充说到:

“这一漏洞将允许攻击者对使用了TLS安全传输层协议的通信连接进行解密。当前最新的客户端和服务器之间如果使用了TLS协议来作为信息传输的安全保障,那么攻击者就可以通过向支持和使用SSLv2 协议的服务器发送探针,然后对通信数据进行捕获和解密。”

Ivan Ristic是Qualys公司的工程总监,而且他也是Qualys公司SSL实验室的高管。他表示

“这种类型的攻击是非常严重的。我的建议是,用户首先要确保的就是自己系统的安全性。幸运的是,修复这一问题是非常简单的:禁用所有服务器中的SSLv2协议。这一操作非常的简单,但是我指的是-所有的服务器!如果你一直在重复使用同一个RSA[Rivest-Shamir-Adleman]密钥的话(即便是采用了不同的证书),禁用掉一台服务器上的SSLv2协议是不会给系统的安全带来多少显著变化的。因为,如果其他的服务器仍然正在使用这一带有漏洞的协议,那么你整个网络中的服务器(即使这些服务器使用的是不同的主机名,端口,甚至是不同的协议)都将有可能受到黑客的攻击。”

事实就是这样,即使是‘安全“的服务器也有可能会被入侵,因为这些安全的服务器与存在漏洞的服务器是处于同一网络系统中的。利用Bleichenbacher攻击,RSA私钥也可以被解密。也就是说,我们也可以利用这一技术来对那些使用了这些私钥的“安全”服务器进行攻击。

赶紧修复这一漏洞!

除了OpenSSL发布的官方补丁之外,我们还可以从其他的渠道获取到漏洞补丁——例如Canonical、红帽以及SUSE Linux等公司,这些公司将会在第一时间向用户提供更新补丁。

*原文地址:zdnet,lazynms编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

  • 相关推荐
  • 大家在看
  • 苹果推出SSD Kit:Mac Pro可自行升级8TB硬盘

    除了给Macbook Pro笔记本增加了AMD的Radeon RX 5600M显卡之外,苹果还给Mac Pro电脑推出了一个小工具——SSD Kit,可以让用户自行升级SSD容量,最高8TB,售价还没公布。苹果的Mac P

  • Serverless架构的前世今生

    一、Serverless简介云计算的不断发展,涌现出很多改变传统IT架构和运维方式的新技术,而以虚拟机、容器、微服务为代表的技术更是在各个层面不断提升云服务的技术能力,它们将应用和环境中很多通用能力变成了一种服务。但无论这些技术应用在哪里,帮助企业“降本增效”是技术变革永恒的主题。Serverless架构的出现,带来了跨越式的变革。Serverless下主机管理、操作系统管理、基础软件的部署运维、资源分配和扩缩容能力全部由云厂?

  • 和平精英SS8赛季手册寻宝行动全攻略 SS8赛季手册寻宝行动教程

    ​和平精英SS8赛季手册寻宝行动是新增的玩法,在其中可以获得非常多的奖励,但是一些玩家还不清楚怎么去玩寻宝行动,下面就来为大家分享一下和平精英SS8赛季手册寻宝行动全攻略。

  • 和平精英SS8赛季手册全部奖励汇总 SS8赛季手册皮肤奖励一览

    ​和平精英的SS8赛季手册马上就要上线了,很多玩家还不清楚此次S8的赛季手册有什么内容,所以今天就来为大家分享一下和平精英SS8赛季手册全部奖励汇总。

  • 唯一坚持MLC闪存!三星980 PRO PCIe 4.0 SSD韩国过审

    PCIe 4.0 SSD已经多如牛毛,但说到闪存,清一色都是TLC,而很多人念念不忘的MLC已经几乎绝迹。如果你实在需要MLC,可以等等三星980 PRO,因为它是如今几乎唯一硕果仅存的消费级MLC SSD。三星9

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 美瑞时(MRISSTIME)发展历程

    美瑞时(MRISSTIME)是世界著名制表品牌之一,隶属于瑞士瑞时集团,瑞士瑞时集团创立于1978年,总部位于洛桑。集团旗下围绕世界名品钟表收藏及高雅格调文化生活方式交流的全球瑞时会俱乐部100余家,服务于全球近500万VIP客户。自19世纪中叶,Ammann家族开始从事钟表制造及收藏,拥有独立的制表企业及顶级腕表收藏艺术廊、钟表博物馆。Ammann家族所坚持的理念,为品牌开创独树一帜的视野,并留下经典隽永的传世作品。直到今天,美瑞时(MRISSTIM

  • 女神异闻录4黄金版全boss攻略汇总 P4G全boss战详细攻略

    女神异闻录4黄金版中boss的数量还是非常多的,一些boss等级和人格面具等级没达到的话就会很难打,下面就来为大家分享一下女神异闻录4黄金版全boss攻略汇总。

  • 罕见MLC闪存!三星980 PRO PCIe 4.0 SSD两个月内见

    无论是在消费级市场,还是数据中心领域,PCIe 4.0 SSD产品都已经相当丰富,而作为SSD界杠把子的三星电子,早在年初CES 2020上就展示了自己的首款消费级PCIe 4.0 SSD 980 PRO,半年过去了却迟迟没

  • 耶鲁智能锁与Yale Access完美组合 让生活事半功倍

    在对于生活质量与要求越来越高的年代,耶鲁这个拥有 180 年悠久历史的品牌,创新推出yaleaccessapp。通过该app,可以绑定家庭中的耶鲁智能设备,轻松管理耶鲁智能锁,让生活事半功倍。 YaleAccess可以做什么? 从功能上看,YaleAccess连结起了耶鲁旗下的智能门锁、智能家居门铃、智能闭路电视、电子猫眼等各类产品,用互联网与高科技构建起家庭安防牢不可破的保卫圈。 YaleAccess可以实时推送信息,将家中智能锁的开锁信息传递到

  • 安信证书:申请免费SSL证书?别被“免费”蒙蔽双眼

    大部分企业网站和个人站长,已经认识到给网站安装SSL证书升级为HTTPS协议的重要性。作为国内领先的网站HTTPS解决方案提供商,安信证书专注提供SSL证书的申请和安装。但发现不少用户在咨询时开口便是有没有免费的SSL证书类似的问题,觉得还是有必要说一说这事儿。有没有免费的SSL证书?有。而且互联网上搜索相关内容就有超过上千万条结果。但你以为这些服务商都是做慈善的吗?俗话说,天上不会无故掉馅饼!天下没有免费的午餐。这是

  • 手表品牌推荐| ISSEY MIYAKE三宅一生今夏最佳搭配

    腕表作为身份和品位的一个象征,其品牌和设计的重要性自然不言而喻,手表品牌推荐标准也不再像以前只认品牌,还要考虑产品本身的设计和品质。在当下这个普遍追热潮,出门就撞款的腕表市场环境下,不仅腕表设计缺乏新意,腕表品质和价格也往往难以让人满意,少有品牌能够保证手表的颜值与性价比兼顾。而在这几点上,ISSEY MIYAKE三宅一生做到了,不是在它享有盛誉的服装领域,而是ISSEY MIYAKE三宅一生手表品牌得到了行业和消费者的

  • 手表品质之选:ISSEY MIYAKE三宅一生1/6系列手表

    最近,国产职场剧频频刷屏,从收割一片好评的《欢乐颂》、《都挺好》、《前半生》再到最近毁誉参半的《安家》、《完美关系》。这些电视剧都反映出我国女性意识觉醒的趋势,但很遗憾,国产剧中所塑造的独立女性的形象仍是远不比CBS老牌美剧《傲骨之战》来的立体。 《The Good Fight(傲骨之战)》这部剧以戴安(Diane)、卢卡(Lucca)和玛娅(Maia)三个不同年龄段的女律师为主角,聚焦独立女性对于自己过往生活的自省和新生和探?

  • 内存新锐ZADAK首次转战SSD:性能、外观都没得挑

    ZADAK这个品牌大家可能还不太熟悉,此前专注于高性能内存,现在第一次转战SSD固态硬盘,而且出手不凡,首款产品“SPARK PCIe Gen 3x4 M.2 RGB SSD”从外观设计到规格性能都非常出色。

  • 携程BOSS直播13场总GMV破5亿元

    6月11日消息,昨日晚间,携程BOSS梁建章亮相西安W酒店。他COS成“秦始皇”,与COS成“历代帝王将相”的携程高管天团,一起为旅游复苏“带货”。梁建章COS成“秦始皇” 与美女直播助理“王母娘娘” 据统计,当晚观众达329万,比平日多50%;单场GMV创纪录地破9017万元,几乎是平日的一倍;至此,“携程BOSS直播”13场总GMV破5亿。直播中,携程的一众高管也是玩的很嗨。梁建章化身秦始皇:“西安是丝路起点。很多动物例如

  • 金士顿发烧级SSD出新:2TB豪华容量加入

    金士顿的内存和SSD在国内市场常稳坐出货前几名,深受消费者的认可。日前,金士顿高端NVMe SSD产品线KC2500系列新增2TB容量版本,并且已经开始出货。不过,价格尚未公布,目前国行1TB为1399元。

  • Facebook正在关闭模仿TikTok的Lasso短视频服务

    上线一年半后,Facebook 已决定放弃旨在取代 TikTok 的 Lasso 短视频应用。在周三的公告中,该公司很遗憾地通知 Lasso 用户,其将于 7 月 10 日关闭这项服务。2018 下半年推出的 Lasso,曾被视作在中西年轻用户群体中都占有一席之地的 TikTok 的有力竞争者。

  • ISS呼吁特斯拉股东选掉董事长:领导能力不行

    特斯拉董事长罗宾·丹霍姆凤凰网科技讯 北京时间6月16日消息,当地时间星期一,代理顾问公司ISS呼吁特斯拉股东在下个月的年度股东大会上选掉董事长罗宾·丹霍姆(Robyn Denholm)。ISS称,丹霍姆领导能力堪忧,例如,董事薪酬没有合理理由连续多年高企,任职期间部分董事、高管股权质押大幅攀高。丹霍姆自2018年11月起担任特斯拉董事长,也是董事会审计和薪酬委员会成员。ISS称,“大量股权质押引发了对审计委员会有效审查公司风险

  • 谷歌开发类AirDrop应用Nearby Share:支持Windows/Mac/Chrome OS

    据外媒报道,谷歌已经为Android开发了一个类似于Airdrop的文件共享服务。尽管多次泄露,但该公司仍未宣布其这个全新的本地文件共享服务。这使得许多Android OEM厂商如三星、OPPO、OnePlus、Realme、小米和其他厂商都推出了自己的快速文件共享协议。不过,看起来谷歌的文件共享服务比其他协议拥有一个关键优势,那就是它可以在运行Windows、macOS、Linux乃至Chrome OS的PC上运行。

  • 闪存33年来最大革命 铠侠提晶圆级SSD新技术

    东芝是NAND闪存的发明人,1987年推出了全球首个NAND芯片,迄今已经33年了。如今继承东芝衣钵的是铠侠存储,他们提出了一种大胆的SSD技术——晶圆级SSD,不再需要做什么外壳、PCB、接口

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天