首页 > 外闻 > 关键词 > openssl最新资讯 > 正文

OpenSSL又出新漏洞,超过1100万https站点受影响

2016-03-02 13:04 · 稿源:FreeBuf黑客与极客

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。

影响超过1100万网站

我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。

发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右。

那么,DROWN到底有多么恐怖呢?在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

FreeBuf 百科:OpenSSL

OpenSSL 是一个强大的安全套接字层密码库,其囊括了目前主流的密码算法,常用的密钥,证书封装管理功能以及SSL协议,并提供了丰富的应用程序可供开发人员测试或其它目的使用。

由于OpenSSL的普及,导致这一开源的安全工具成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。

微软的互联网信息服务(IIS)v7已经过时了,而且这项服务在此之前还曾曝出过漏洞,但是微软的工作人员已经解决了IIS中的安全问题。但是2012年之前发布的3.13版本网络安全服务(NSS)(一款内嵌于大量服务器产品中的通用加密代码库)仍然存在漏洞,所以运行了上述版本NSS工具的服务器仍然有可能受到黑客的攻击。

漏洞检测及安全建议

用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。

无论在何种情况下,如果你使用了OpenSSL来作为你的安全保护工具,而且目前大多数人也确实是这样的,那么我们的建议如下:

 使用了OpenSSL 1.0.2的用户应该立刻将OpenSSL更新至1.0.2g

 使用了OpenSSL1.0.1的用户应该立刻将OpenSSL更新至1.0.1s;

如果用户使用的是其他版本的OpenSSL,那么请用户立即将产品版本更新至1.0.2g或者1.0.1s。

如果你使用的是其他的程序,那么你早就应该将你所使用的ISS和NSS更新至最新版本了。如果你现在还没有这样做,那么也没有什么好惭愧的,赶紧动手去做就可以了。

当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

研究人员的描述称

“在研究的过程中,我们曾尝试对一台单一的服务器进行攻击。服务器中加载了含有漏洞CVE-2016-0703的OpenSSL,然后我们便在不到一分钟的时间里成功地入侵了这台服务器。即使服务器本身不存在这些特殊的漏洞,但是攻击方法永远都会处于发展之中,所以DROWN攻击的变种还可以对使用了SSLv2协议的服务器进行攻击,整个攻击过程不会超过八个小时,攻击成本大约在440美金左右。”

也许你会觉得奇怪,在过去的20年时间里,SSLv2协议的安全性是得到了大家普遍认可的,为什么就连这样的一种协议都有可能受到这一漏洞的影响?研究人员认为

“即便是服务器仅仅启用了SSLv2协议,而且也没有合法用户使用过这一协议,但服务器和客户端仍然有可能遭受到DROWN攻击。”

研究人员补充说到:

“这一漏洞将允许攻击者对使用了TLS安全传输层协议的通信连接进行解密。当前最新的客户端和服务器之间如果使用了TLS协议来作为信息传输的安全保障,那么攻击者就可以通过向支持和使用SSLv2 协议的服务器发送探针,然后对通信数据进行捕获和解密。”

Ivan Ristic是Qualys公司的工程总监,而且他也是Qualys公司SSL实验室的高管。他表示

“这种类型的攻击是非常严重的。我的建议是,用户首先要确保的就是自己系统的安全性。幸运的是,修复这一问题是非常简单的:禁用所有服务器中的SSLv2协议。这一操作非常的简单,但是我指的是-所有的服务器!如果你一直在重复使用同一个RSA[Rivest-Shamir-Adleman]密钥的话(即便是采用了不同的证书),禁用掉一台服务器上的SSLv2协议是不会给系统的安全带来多少显著变化的。因为,如果其他的服务器仍然正在使用这一带有漏洞的协议,那么你整个网络中的服务器(即使这些服务器使用的是不同的主机名,端口,甚至是不同的协议)都将有可能受到黑客的攻击。”

事实就是这样,即使是‘安全“的服务器也有可能会被入侵,因为这些安全的服务器与存在漏洞的服务器是处于同一网络系统中的。利用Bleichenbacher攻击,RSA私钥也可以被解密。也就是说,我们也可以利用这一技术来对那些使用了这些私钥的“安全”服务器进行攻击。

赶紧修复这一漏洞!

除了OpenSSL发布的官方补丁之外,我们还可以从其他的渠道获取到漏洞补丁——例如Canonical、红帽以及SUSE Linux等公司,这些公司将会在第一时间向用户提供更新补丁。

*原文地址:zdnet,lazynms编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

  • 相关推荐
  • 大家在看
  • 黑客发现新漏洞:可用于iOS 13.6越狱

    据外媒最新报道称,已经有开发者给出消息称,有用于iOS 13.6正式版的漏洞了(efp0),不过目前相应的越狱工具还在初始阶段。需要指出的是,针对 tfp0 漏洞利用的开发仍处于早期阶段,且目前尚

  • 纸人2全部boss打法攻略 杨依兰夫人等boss打法教程

    纸人2中的boss不是特别多,但是有的boss还是需要一定的技巧才能过关的,今天就来为大家带来殷凌、殷洪​、杨依兰等boss战的打法攻略,希望对大家有所帮助。

  • Jurassic World中的赚钱机会

    LandLab发布的第 1 款游戏神龙岛已经大获成功,其第 2 款游戏Jurassic World即将在 7 月 15 日正式内测,作为具有极具创新性的驯养类区块链游戏,Jurassic World必将给用户带来全新的游戏体验。游戏与区块链技术的结合能够创造大量潜在的金融红利,而且所有人都能平等地参与到利益分配中,早期用户更是可以近水楼台先得月,那Jurassic World中有哪些赚钱机会呢?JT(Jurassic Token)是Jurassic World的游戏通证,总量恒定 10 亿,

  • 魔兽世界怀旧服安其拉神殿全boss攻略 TAQ超详细9个boss打法教程

    魔兽世界怀旧服的安其拉神殿(简称TAQ)在7月底就要正式开放了,很多玩家还不清楚安其拉神殿的9个boss怎么打,下面就来为大家分享一下魔兽世界怀旧服安其拉神殿的全boss攻略。

  • 微软预告Windows 10新功能:不怕恶意软件、攻击等行为

    对于Windows 10用户来说,微软已经提前预告了新功能,其将迎来“内核数据保护”(KDP),旨在阻止恶意软件 / 恶意威胁攻击者修改或破坏操作系统的内存数据。微软基础内核团队今日表

  • 区块链游戏Jurassic World即将正式内测

    游戏向来被认为是区块链最佳的落地场景之一,包含Microsoft、Google、腾讯和网易等不少我们耳熟能详的传统互联网巨头都已对该领域进行了深度的战略布局,如何将传统游戏藉由区块链技术而创造新价值与玩法?区块链游戏公司LandLab给出了答案,继其第 1 款游戏神龙岛正式内测 1 个月后,其第 2 款游戏Jurassic World(侏罗纪世界)也已开发完成,即将正式开始内测。Jurassic World(侏罗纪世界)是以侏罗纪时代为背景基于区块链技术的

  • 独特设计之选——评价ISSEY MIYAKE三宅一生新品手表

    随着审美追求的变化,在衣物之外的饰品开始越来越多元化,直到腕表的出现,一块小小的腕表既是功能性器械,又起到装饰作用,它可以是珠宝,也可以是彰显个性的挂件,就那样戴在人的手腕上,不显突兀的同时又极具存在感。手表所能表达的意义已经极大的发展,越来越呈现多元化的趋势,有点表现品味与个性思维的道具的意思了,如果现在的人出门手上没有一块手表,看起来都好像缺了点什么,它好像已经成为了我们互相了解的重要一环。 ?

  • 谷歌要求马上升级!Android迎来安全更新:修复多个严重漏洞

    今天谷歌发布了新的安全公告,Android系统迎来2020-07-01和2020-07-05两个安全补丁,都是解决棘手的安全漏洞。据公布的内容看,谷歌这次发布的两个针对Android安全补丁,一个是Android和谷歌服

  • 没有公网IP,不用端口映射,也能远程连接MSSQL数据库!

    微软SQL Server数据库服务器MSSQL,提供从服务器到终端的完整解决方案,颇受大众喜爱。但数据库服务器一般部署在内网,只有本地局域网的设备才能访问。在远程办公、移动办公常态化的情况下,如何满足远程建立、使用和维护数据库呢?如果数据库服务器所在的网络环境没有公网IP或者没有路由器/光猫管理权限,就需要进行内网穿透。国产内网穿透服务商花生壳,旗下有一款硬件版内网穿透神器——花生壳盒子,不需要公网IP,不用设置路由

  • 索尼与NEC成立半导体生产管理公司SSN 索尼持股25%

    7月30日消息,索尼半导体制造公司日前和NEC设施公司宣布,共同成立SSN设施有限公司(简称SSN设施),该公司将负责半导体生产基地的设施管理。索尼SSN是Sustainable & Smart Next generation(可持续&智能的下一代)的缩写。索尼半导体制造计划将日本7个生产基地的设施管理业务外包给SSN设施,以确保无尘室和设备的稳定运行和维护,保证高效而简便的运营,从而提高公司对业务环境的应变能力。SSN设施将从今年9月1日开始进

  • 华尔街英语Jessie Liang:我希望将“成功”的力量传递给更多人

    近期,华尔街英语一年一度的演讲比赛正在如火如荼地展开。在华尔街英语北京赛区,一名来自东直门学习中心的华尔街英语学员受到了大家的关注。她叫Jessie Liang,是一名90后的爱笑女生,她的笑容感染鼓励着校区的学生们。本次华尔街英语年度演讲比赛的主题是“成功”,要求参赛者以此为主题结合自身经历进行3-5分钟的英语演讲。每位参赛者“成功”的故事和经历大不相同,选手们自信、热情的演讲让在场的学生们备受鼓舞,“成功”这?

  • 云安全提醒: Roundcube爆出多个漏洞,可窃取信息 接管邮箱账户

    Roundcube是一款被广泛使用的开源的Web电子邮件程序,在全球范围内有很多组织和公司都在使用。Roundcube Webmail在Linux中最常用,它提供了基于Web浏览器的可换肤IMAP客户端,并提供多种语言。功能包括MIME支持,通讯簿,文件夹和邮件搜索功能。Roundcube支持各种邮件协议,如IMAPS、POP3S 或者 submission,可以管理多个邮箱账号.不过,7月21日,Roundcube发布了有关跨站点脚本漏洞(代号CVE-2020-15562)的通报,该通报是Roundcube稳定

  • 安其拉神殿副本文字+视频开荒攻略 TAQ全boss机制技能打法教程

    魔兽世界怀旧服有非常多的服务器已经完成了安其拉开门任务了,很多公会都打算在这段时间去开荒安其拉了,这个副本的难度自然不是之前副本可比的,所以下面就来为大家介绍一下安其拉神殿副本全boss的文字加视频攻略。

  • 任天堂 Switch 新机型或支持英伟达 DLSS 2.0

    据英伟达的招聘广告显示,英伟达正在为Tegra方案工程团队招聘一名高级嵌入式软件工程师。工程师将会为游戏主机以及 AI 边缘设备开发次世代画质和 AI 技术。同时该职位的职责还包括使用人工智能解决图形技术方案,比如NVIDIA DLSS 2.0。虽然没有明示,但是考虑到任天堂和英伟达的合作,不少媒体都推测这个游戏主机就是任天堂NS。

  • Q2季度SSD硬盘价格暴跌30% 商家吐血甩卖

    SSD硬盘价格又开始跌了,大家听到这样的消息是不是很开心?预期的闪存牛市持续也就一个季度,Q2季度开始闪存价格就涨不上去了,6月份价格更是急转直下,因为前期疫情导致的远程工作需求已经放

  • DNF记忆印痕刀疤鼠打法攻略 忆印痕刀疤鼠boss机制处理教程

    DNF冥域时空的黑色魔物的痕迹地下城中有一个记忆印痕刀疤鼠的boss领主,很多玩家还不清楚这个boss到底要怎么打,下面就来为大家详细的介绍一下。

  • 巨头公司Microsoft,SAP,Adobe和Google“扎堆”发布针对安全漏洞更新

    众所周知,对于安全研究员来说,每个月的第二个星期二是微软(Microsoft )“补丁星期二”。这次也毫无例外,微软公司当天发布了针对其产品中的安全漏洞的补丁。不过比较戏剧性的是,这次是“聚会”,因为SAP ,Adobe 和Google 同一天也都针对自身产品发布了安全更新。Microsoft早在今年5月份,安全研究人员发现了Windows DNS的一个严重安全漏洞并上报给微软。微软已确认此漏洞,于7月14日发布了安全漏洞更新.此漏洞代号为"Si

  • 1Password 推出 Linux 版本,后端完全采用 Rust 编写

    1Password 官方本周宣布,将在今年内推出 Linux 版本,现已进入公开预览阶段。这款流行的密码管理软件兼容 Mac、iOS、Windows 和 Android 等多个平台,也能与 Chrome、Edge、Firefox、Safari、Opera 等各类浏览器融合,实现包括自动填充、密码保存与管理在内的功能。但唯独缺少对 Linux 平台的支持。

  • 携程发布“BOSS 直播”大数据 梁建章带货能力有多强?

    携程对外发布2020携程“BOSS直播”大数据报告,对外披露“BOSS直播”4个多月来的成绩。携程透露,以“BOSS直播”为核心的携程直播累计GMV破11亿元、产品核销率近5成、为千家高星酒店带货超百万间夜。“BOSS 直播”的主要仍面向高星酒店,这也是携程市场占有率最大的板块。报告透露,携程“BOSS直播”间内的预售产品均价仍在1200元以上,首批到店的酒店预售产品和效率接近50%。报告透露,携程直播间重复?

  • BOSS直聘宣布向可可西里捐赠近40万元公益巡护车

    【TechWeb】7月13日消息,今天是国内互联网招聘平台BOSS直聘成立六周年的日子,在今天的生日晚会上,BOSS直聘宣布向可可西里自然保护区捐赠巡护车,将通过三江源生态保护基金捐赠给可可西里管理处,旨在保障巡护员打击盗猎、盗采等违法行为时的人身安全。相关资料显示,巡护员是一类从事动物保护的人,他们与盗猎者作斗争、追踪盗猎者、收集非法交易情报。据此前的一篇报道称,平均每年可可西里主力巡山队要完成大规模巡山15次、?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签