记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CVE-2016-0703 OpenSSL DROWN漏洞安全通告

2016-03-03 04:00
CVE-2016-0703 OpenSSL DROWN漏洞安全通告-安全盒子
在OpenSSL官方昨日发布的安全公告中,公开了一个新的高危漏洞“DROWN”(溺亡漏洞)。通过该漏洞,攻击者可以发起“中间人劫持攻击”窃取被HTTPS加密的会话内容,包括雅虎,阿里巴巴,微博,Flicker,百度等多家大型企业在内,预计全球超过33%的网站受此漏洞影响。
漏洞描述:
        现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。
DROWN攻击影响还在支持SSLv2的服务端和客户端,这是一种古老的协议,许多客户端已经不支持使用,然而,由于配置上的问题,许多服务器仍然支持SSLv2。
        https://drownattack.com/top-sites.html  该网站列出了全球排行前10000的网站中受到影响的网站
危害评级:
        严重
影响范围:
        大部分支持SSLv2的服务器均会受到该漏洞影响
验证方法:
        可以通过该网站检查你的站点是否受到影响
https://test.drownattack.com/
你也可使用检测工具检查,下载地址:
https://github.com/nimia/public_drown_scanner
修复方法:
        确保你的私钥不适用于其他的支持sslv2服务,包括web,smtp,imap,pop服务等。禁止服务器端的sslv2支持。如果是Openssl,请查看OpenSSL官方给出的修复指南。
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/
参考:
知识来源: www.secbox.cn/hacker/13712.html

阅读:108686 | 评论:0 | 标签:黑客 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“CVE-2016-0703 OpenSSL DROWN漏洞安全通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云

本页关键词