一個類似于心臟出血的OpenSSL漏洞(CVE-2016-0800)周二曝光,該漏洞影響超過1100萬臺使用古老安全協議SSLv2的網站和郵件服務器。
利用該漏洞的攻擊被稱為“溺水”攻擊(DROWN, Decrypting RSA with Obsolete and Weakened eNcryption),可通過給服務器發送精心構造的惡意數據包來解密HTTPS通信,獲得諸如口令或信用卡信息等敏感數據。
溺水可實現跨協議攻擊
據360安全專家蔡玉光分析,該漏洞利用難度較高,需要攻擊者截獲經HTTPS加密的通信數據,并破解此數據應送達的服務器的密鑰,才可讓攻擊者對所截獲的數據進行解密。破解密鑰需要使用一定性能的計算集群,并花費8個小時。租用計算集群的成本約400美金左右(以租用亞馬遜集群的費用為準)。因此,攻擊成本不低,意味著實際影響會小。但一旦攻擊成功,攻擊者就可以破解其截獲的所有加密數據。
蔡玉光建議受到此漏洞影響的用戶應確認其私鑰不適用于其他的支持sslv2服務,包括web、smtp、imap、pop服務等,并禁止服務器端的sslv2支持。另外可以對OpenSSL進行更新。
以下版本的服務及協議受影響:
Apache — 非2.4.x版本
Nginx — 0.7.64/0.8.18及更早版本
Postfix — 早于2.9.14/2.10.8/2.11.6/3.0.2的版本
OpenSSL — 1.0.2a/1.0.1m/1.0.0r/0.9.8zf及更早版本
各版本檢測方式及詳細修復步驟 ——
http://www.aqniu.com/threat-alert/14036.html
漏洞詳情 ——
https://www.openssl.org/news/secadv/20160301.txt
京公網安備 11010502049343號