| 一个类似于心脏出血的OpenSSL漏洞(CVE-2016-0800)周二曝光,该漏洞影响超过1100万台使用古老安全协议SSLv2的网站和邮件服务器。 |
一个类似于心脏出血的OpenSSL漏洞(CVE-2016-0800)周二曝光,该漏洞影响超过1100万台使用古老安全协议SSLv2的网站和邮件服务器。
利用该漏洞的攻击被称为“溺水”攻击(DROWN, Decrypting RSA with Obsolete and Weakened eNcryption),可通过给服务器发送精心构造的恶意数据包来解密HTTPS通信,获得诸如口令或信用卡信息等敏感数据。
溺水可实现跨协议攻击
据360安全专家蔡玉光分析,该漏洞利用难度较高,需要攻击者截获经HTTPS加密的通信数据,并破解此数据应送达的服务器的密钥,才可让攻击者对所截获的数据进行解密。破解密钥需要使用一定性能的计算集群,并花费8个小时。租用计算集群的成本约400美金左右(以租用亚马逊集群的费用为准)。因此,攻击成本不低,意味着实际影响会小。但一旦攻击成功,攻击者就可以破解其截获的所有加密数据。
蔡玉光建议受到此漏洞影响的用户应确认其私钥不适用于其他的支持sslv2服务,包括web、smtp、imap、pop服务等,并禁止服务器端的sslv2支持。另外可以对OpenSSL进行更新。
以下版本的服务及协议受影响:
Apache — 非2.4.x版本
Nginx — 0.7.64/0.8.18及更早版本
Postfix — 早于2.9.14/2.10.8/2.11.6/3.0.2的版本
OpenSSL — 1.0.2a/1.0.1m/1.0.0r/0.9.8zf及更早版本
各版本检测方式及详细修复步骤 ——
http://www.aqniu.com/threat-alert/14036.html
漏洞详情 ——
https://www.openssl.org/news/secadv/20160301.txt