https 漏洞

OpenSSL又出新漏洞,超过1100万https站点受影响

2016-03-02+10871397人围观 ,发现 26 个不明物体漏洞

据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。

影响超过1100万网站

我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。

发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右。

那么,DROWN到底有多么恐怖呢?在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

FreeBuf 百科:OpenSSL

OpenSSL 是一个强大的安全套接字层密码库,其囊括了目前主流的密码算法,常用的密钥,证书封装管理功能以及SSL协议,并提供了丰富的应用程序可供开发人员测试或其它目的使用。

由于OpenSSL的普及,导致这一开源的安全工具成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。

微软的互联网信息服务(IIS)v7已经过时了,而且这项服务在此之前还曾曝出过漏洞,但是微软的工作人员已经解决了IIS中的安全问题。但是2012年之前发布的3.13版本网络安全服务(NSS)(一款内嵌于大量服务器产品中的通用加密代码库)仍然存在漏洞,所以运行了上述版本NSS工具的服务器仍然有可能受到黑客的攻击。

漏洞检测及安全建议

用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。

无论在何种情况下,如果你使用了OpenSSL来作为你的安全保护工具,而且目前大多数人也确实是这样的,那么我们的建议如下:

 使用了OpenSSL 1.0.2的用户应该立刻将OpenSSL更新至1.0.2g

使用了OpenSSL1.0.1的用户应该立刻将OpenSSL更新至1.0.1s;

如果用户使用的是其他版本的OpenSSL,那么请用户立即将产品版本更新至1.0.2g或者1.0.1s。

如果你使用的是其他的程序,那么你早就应该将你所使用的ISS和NSS更新至最新版本了。如果你现在还没有这样做,那么也没有什么好惭愧的,赶紧动手去做就可以了。

当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

研究人员的描述称

“在研究的过程中,我们曾尝试对一台单一的服务器进行攻击。服务器中加载了含有漏洞CVE-2016-0703的OpenSSL,然后我们便在不到一分钟的时间里成功地入侵了这台服务器。即使服务器本身不存在这些特殊的漏洞,但是攻击方法永远都会处于发展之中,所以DROWN攻击的变种还可以对使用了SSLv2协议的服务器进行攻击,整个攻击过程不会超过八个小时,攻击成本大约在440美金左右。”

也许你会觉得奇怪,在过去的20年时间里,SSLv2协议的安全性是得到了大家普遍认可的,为什么就连这样的一种协议都有可能受到这一漏洞的影响?研究人员认为

“即便是服务器仅仅启用了SSLv2协议,而且也没有合法用户使用过这一协议,但服务器和客户端仍然有可能遭受到DROWN攻击。”

研究人员补充说到:

“这一漏洞将允许攻击者对使用了TLS安全传输层协议的通信连接进行解密。当前最新的客户端和服务器之间如果使用了TLS协议来作为信息传输的安全保障,那么攻击者就可以通过向支持和使用SSLv2 协议的服务器发送探针,然后对通信数据进行捕获和解密。”

Ivan Ristic是Qualys公司的工程总监,而且他也是Qualys公司SSL实验室的高管。他表示

“这种类型的攻击是非常严重的。我的建议是,用户首先要确保的就是自己系统的安全性。幸运的是,修复这一问题是非常简单的:禁用所有服务器中的SSLv2协议。这一操作非常的简单,但是我指的是-所有的服务器!如果你一直在重复使用同一个RSA[Rivest-Shamir-Adleman]密钥的话(即便是采用了不同的证书),禁用掉一台服务器上的SSLv2协议是不会给系统的安全带来多少显著变化的。因为,如果其他的服务器仍然正在使用这一带有漏洞的协议,那么你整个网络中的服务器(即使这些服务器使用的是不同的主机名,端口,甚至是不同的协议)都将有可能受到黑客的攻击。”

事实就是这样,即使是‘安全“的服务器也有可能会被入侵,因为这些安全的服务器与存在漏洞的服务器是处于同一网络系统中的。利用Bleichenbacher攻击,RSA私钥也可以被解密。也就是说,我们也可以利用这一技术来对那些使用了这些私钥的“安全”服务器进行攻击。

赶紧修复这一漏洞!

除了OpenSSL发布的官方补丁之外,我们还可以从其他的渠道获取到漏洞补丁——例如Canonical、红帽以及SUSE Linux等公司,这些公司将会在第一时间向用户提供更新补丁。

*原文地址:zdnet,lazynms编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

这些评论亮了

  • 阿斯顿发生地方回复
    感觉影响被夸大了,因为实际利用起来还是有现实难度的。
    )13(亮了
  • imlonghao回复
    SSLv2 现在谁还在用?最低最低最低兼容配置的话都是 SSLv3 起步
    )12(亮了
  • wexiaojiu(2级)这家伙不是一般的懒,.!回复
    嗯,试了下,嗯!嗯!!嗯!!!
    )12(亮了
  • 怎么openssl天天都不安全?
    )11(亮了
  • TOP大菠萝回复
    OpenSSL安全性一向不咋地
    )10(亮了
发表评论

已有 26 条评论

  • TOP大菠萝 2016-03-02回复1楼

    OpenSSL安全性一向不咋地

    亮了(10)
  • Hi 2016-03-02回复2楼

    怎么openssl天天都不安全?

    亮了(11)
  • imlonghao 2016-03-02回复3楼

    SSLv2 现在谁还在用?最低最低最低兼容配置的话都是 SSLv3 起步

    亮了(12)
  • wexiaojiu (2级)这家伙不是一般的懒,.! 2016-03-02回复4楼

    嗯,试了下,嗯!嗯!!嗯!!!

    亮了(12)
  • phreaker 2016-03-02回复5楼

    DROWN这玩意儿最“魔幻”的在于,利用开着SSLv2弱协议的服务,去获得正常TLS(但与SSLv2服务共享一个私钥)流量中的session key……我记得几大浏览器早就默认都禁用SSLv2了吧?

    亮了(8)
  • 相忘于江湖DT 2016-03-02回复6楼

    都不喜欢

    亮了(9)
  • 卑鄙的蚂蚁 2016-03-02回复7楼

    好吧

    亮了(6)
  • 卖仙剑的酒剑仙 2016-03-02回复8楼

    大姨妈来敲门[感冒]

    影响面太大

    亮了(4)
  • 青藤云安全 2016-03-02回复9楼

    再次提醒。

    亮了(3)
  • 最最和谐 2016-03-02回复10楼

    耸人听闻的消息。别说SSLv2,就是SSLv3早都列为不安全被禁用了。

    亮了(4)
  • 魅力长春 2016-03-02回复11楼

    这最近因为运营商劫持的事儿,不少web都准备或者开始换https了。未来估计受到影响的会很多吧

    亮了(3)
  • RAyH4c 2016-03-02回复12楼

    嗯,这种洞也不能单从服务端看,扫到了存在漏洞,但是客户端早已不支持了,就被定期大姨妈不太合适,实际上有些公司还开着V2就是为了兼容一部分老得不能再老的客户端。

    亮了(4)
  • 沐旗 2016-03-02回复13楼

    前排[doge]

    亮了(4)
  • cwg2552298 (6级)Follow my own course 2016-03-02回复14楼

    没有绝对安全的系统啊 :eek:

    亮了(3)
  • 阿斯顿发生地方 2016-03-02回复15楼

    感觉影响被夸大了,因为实际利用起来还是有现实难度的。

    亮了(13)
    • test 2016-03-02回复

      @ 阿斯顿发生地方 附议。

      亮了(3)
  • wayne野 2016-03-02回复16楼

    无程序不bug 給我說1100萬個亲爱的運維

    亮了(3)
  • 宋伟-在路上 2016-03-02回复17楼

    金山云的slb 支持https

    亮了(3)
  • 开源新闻发布台 2016-03-02回复18楼

    没漏洞还算OpenSSL么。前天放出的1.0.2g 和 1.0.1s应该已经修正了。CentOS已经更新。6版本为1.0.1e-42.el6_7.4 7版本为1.0.1e-51.el7_2.4。

    亮了(3)
  • 哈兹本德 (2级) 2016-03-02回复19楼

    贵圈不炒作难道真的没饭吃了吗,

    亮了(2)
  • rr 2016-03-02回复20楼

    请问怎么利用???

    亮了(1)
  • 颜雨峰 (1级) 2016-03-02回复21楼

    请问怎么利用 :mrgreen:

    亮了(3)
  • 颜雨峰 (1级) 2016-03-02回复22楼

    求客户端扫描的使用方法

    亮了(1)
  • 陈波_像风一样_自_由 2016-03-02回复23楼

    产品介绍上好像没有?

    亮了(1)
  • 熊猫阿B0 2016-03-03回复24楼

    太诡异

    亮了(1)
  • 美玉美刻-小虎 2016-03-06回复25楼

    亮了(0)
表情插图

取消

css.php

Leave a Reply