记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

OpenSSL的drown漏洞:超过1100万的OpenSSL的HTTPS网站存在风险

2016-03-02 13:10
前言:OpenSSL的drown漏洞允许攻击者破坏加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。安妮儿紧急的翻译了Swati Khandelwal的这篇文章,希望对伙伴们有所帮助,由于时间紧急,翻译不足之处请见谅。

OpenSSL的drown漏洞

OpenSSL爆出了一种新的致命的安全漏洞,影响超过1100万的网站和SSLv2,SSLv2一个古老的协议,虽然现在许多客户端已经不支持使用SSLv2。

之所以被称为drown,是因为drown影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。drown允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。

安全研究人员称:

“我们已经可以用一台PC在一分钟内对CVE-2016-0703的OpenSSL版本进行攻击。即使没有这些特定漏洞的服务器,攻击一般的变体,其中对任何的SSLv2服务器,以440美元的总成本低于8个小时进行。”

什么是drown攻击?它是如何滥用的SSLv2攻击TLS?

drown代表“解密RSA与过时,削弱了加密。”

drown攻击威胁到还在支持SSLv2的服务端和客户端,他允许攻击者通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。

“如果你网站的证书或密钥用于其他支持SSLv2的服务器上的话,是同样存在风险的,”安全研究人员指出。 “常见的例子包括SMTP,IMAP和POP邮件服务器,并用于特定的Web应用程序的二次HTTPS服务器。”

drown攻击可能允许攻击者通过发送特制的恶意数据包发送到服务器,或者证书另一个服务器上的共享,有可能进行中间人(MITM)攻击来解密HTTPS连接。

OpenSSL-drown波及范围

33%以上的HTTPS服务器都容易受到drown攻击。

虽然致命的缺陷影响了全世界多达11.5万台服务器,有的Alexa的顶级网站,包括雅虎,阿里巴巴,新浪微博,新浪网,BuzzFeed、Flickr,StumbleUpon 4Shared 和三星,都可能遭受drown基础的MITM攻击。

除了开源的OpenSSL,微软的Internet信息服务(IIS)7及更早版本,以及之前的3.13版本的网络安全服务(NSS)加密库内置到很多的服务器产品也开放给drown攻击。

如何测试OpenSSL的drown漏洞?

可以通过https://test.drownattack.com/?site=你的站点来查看是否受影响。

不过,好消息是,学术研究人员发现:OpenSSL已经提供了漏洞补丁。https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

坏消息是,drown攻击只需不到一分钟时间进行,现在该错误已被披露,黑客们可以积极地去攻击受影响的服务器了。

如何保护自己

OpenSSL 1.0.2用户强烈建议升级到OpenSSL的1.0.2g,OpenSSL的1.0.1的用户建议升级到OpenSSL的1.0.1s。如果您使用的是另一个版本的OpenSSL的安全,你应该移动到较新的版本1.0.2g或1.0.1s。

为了保护自己不受drown攻击,你应该确保的SSLv2被禁用,以及确保私钥不会在任何其它服务器共享。

那些已经易受drown攻击并不需要重新核发证书,但建议采取行动,以防止立即攻击。

事实上,“安全”的服务器也被黑客攻破,因为它们是在同一个网络脆弱的服务器上。通过使用Bleichenbacher的攻击,私有RSA密钥可以被解密,这导致解锁使用相同的私钥“安全”的服务器。

你可以找到更多的技术细节和drown攻击网站顶部脆弱的网站的列表。

此外,马修•格林,约翰霍普金斯大学和著名密码学家教授也发表了一篇博客文章,解释如何drown。

知识来源: www.ijiandao.com/safe/20709.html

阅读:97905 | 评论:0 | 标签:安全 OpenSSL 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“OpenSSL的drown漏洞:超过1100万的OpenSSL的HTTPS网站存在风险”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云