OpenSSL的drown漏洞：超过1100万的OpenSSL的HTTPS网站存在风险

前言：OpenSSL的drown漏洞允许攻击者破坏加密体系，读取或偷取敏感通信，包括密码，信用卡帐号，商业机密，金融数据等。安妮儿紧急的翻译了Swati Khandelwal的这篇文章，希望对伙伴们有所帮助，由于时间紧急，翻译不足之处请见谅。

OpenSSL的drown漏洞

OpenSSL爆出了一种新的致命的安全漏洞，影响超过1100万的网站和SSLv2，SSLv2一个古老的协议，虽然现在许多客户端已经不支持使用SSLv2。 之所以被称为drown，是因为drown影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。drown允许攻击者破坏这个加密体系，读取或偷取敏感通信，包括密码，信用卡帐号,商业机密,金融数据等。 安全研究人员称：

“我们已经可以用一台PC在一分钟内对CVE-2016-0703的OpenSSL版本进行攻击。即使没有这些特定漏洞的服务器，攻击一般的变体，其中对任何的SSLv2服务器，以440美元的总成本低于8个小时进行。”

什么是drown攻击？它是如何滥用的SSLv2攻击TLS？

drown代表“解密RSA与过时，削弱了加密。” drown攻击威胁到还在支持SSLv2的服务端和客户端，他允许攻击者通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。 “如果你网站的证书或密钥用于其他支持SSLv2的服务器上的话，是同样存在风险的，”安全研究人员指出。 “常见的例子包括SMTP，IMAP和POP邮件服务器，并用于特定的Web应用程序的二次HTTPS服务器。” drown攻击可能允许攻击者通过发送特制的恶意数据包发送到服务器，或者证书另一个服务器上的共享，有可能进行中间人（MITM）攻击来解密HTTPS连接。

OpenSSL-drown波及范围

33%以上的HTTPS服务器都容易受到drown攻击。 虽然致命的缺陷影响了全世界多达11.5万台服务器，有的Alexa的顶级网站，包括雅虎，阿里巴巴，新浪微博，新浪网，BuzzFeed、Flickr，StumbleUpon 4Shared 和三星，都可能遭受drown基础的MITM攻击。 除了开源的OpenSSL，微软的Internet信息服务（IIS）7及更早版本，以及之前的3.13版本的网络安全服务（NSS）加密库内置到很多的服务器产品也开放给drown攻击。

如何测试OpenSSL的drown漏洞？

可以通过https://test.drownattack.com/?site=你的站点来查看是否受影响。 不过，好消息是，学术研究人员发现：OpenSSL已经提供了漏洞补丁。https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/ 坏消息是，drown攻击只需不到一分钟时间进行，现在该错误已被披露，黑客们可以积极地去攻击受影响的服务器了。

如何保护自己

OpenSSL 1.0.2用户强烈建议升级到OpenSSL的1.0.2g，OpenSSL的1.0.1的用户建议升级到OpenSSL的1.0.1s。如果您使用的是另一个版本的OpenSSL的安全，你应该移动到较新的版本1.0.2g或1.0.1s。

为了保护自己不受drown攻击，你应该确保的SSLv2被禁用，以及确保私钥不会在任何其它服务器共享。 那些已经易受drown攻击并不需要重新核发证书，但建议采取行动，以防止立即攻击。 事实上，“安全”的服务器也被黑客攻破，因为它们是在同一个网络脆弱的服务器上。通过使用Bleichenbacher的攻击，私有RSA密钥可以被解密，这导致解锁使用相同的私钥“安全”的服务器。 你可以找到更多的技术细节和drown攻击网站顶部脆弱的网站的列表。 此外，马修•格林，约翰霍普金斯大学和著名密码学家教授也发表了一篇博客文章，解释如何drown。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/