OpenSSL曝新漏洞：雅虎/新浪/阿里巴巴等网站或中招

节奏 · 发表于 2016-3-2 15:01:19

2016-3-2 13:15:00来源：凤凰网科作者：称贺责编：汐元评论：11

3月2日消息，近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN，这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪，受影响的HTTPS服务器数量大约为1150万左右。

据OpenSSL安全公告，DROWN是一种跨协议攻击，如果服务器使用了SSLv2协议和EXPORT加密套件，那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

此外需要注意的是，客户端与不存在漏洞的服务器进行通信时，攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件（即使服务器使用了不同的协议，例如SMTP，IMAP或者POP等协议）的服务器RSA密钥来对上述两者的通信数据进行破解。

据国外媒体报道，在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响，受影响的网站包括雅虎、新浪、阿里巴巴等在内的大型网站。

根据公告，安全研究人员Nimrod Aviram和Sebastian Schinzel于2015年12月29日将这一问题报告给了OpenSSL团队。随后，OpenSSL团队的Viktor Dukhovni和Matt Caswell共同开发出了针对此漏洞的修复补丁。

而随着OpenSSL发布官方补丁，这一漏洞的详细信息被公开，或将有攻击者会利用这一漏洞来对服务器进行攻击。

目前OpenSSL已针对该漏洞进行更新，OpenSSL默认禁用了SSLv2协议，并且移除了SSLv2协议的EXPORT系列加密算法。OpenSSL方面强烈建议用户停止使用SSLv2协议。

OpenSSL是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。而由于OpenSSL的普及，导致其成为了DROWN攻击的主要攻击目标，但是它并也不是DROWN攻击的唯一目标。

2014年4月8日，OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏流血”——代表着最致命的内伤。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。

Te5tB99 · 发表于 2016-3-2 19:58:52

看到你活过来，我好激动。

hack88 · 发表于 2016-3-2 21:04:00

这么说，我们的支付宝账号已经泄露了？

超神妖 · 发表于 2016-3-2 22:57:50

好可怕的样子先去密码算了拜拜

wilist · 发表于 2016-3-3 00:35:39

支持中国红客联盟(ihonker.org)

Micah · 发表于 2016-3-3 08:23:29

H.U.C—Prince · 发表于 2016-3-3 14:53:01

支持，看起来还是可以的

perble · 发表于 2016-3-3 16:09:15

非常感谢

CHRIS · 发表于 2016-3-3 16:45:20

支持，看起来还是可以的

perble · 发表于 2016-3-3 19:14:26

谢谢楼主的分享

OpenSSL曝新漏洞：雅虎/新浪/阿里巴巴等网站或中招

指导单位

旗下站点

联系我们