番茄花园

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

最近看过此主题的会员

查看: 74|回复: 1

[业界资讯] [03.02]OpenSSL曝新漏洞:雅虎/新浪/阿里巴巴等网站或中招

[复制链接]
  • TA的每日心情
    开心
    2017-12-4 11:15
  • 签到天数: 72 天

    连续签到: 1 天

    [LV.6]常住居民II

    发表于 2016-3-2 18:53:21 | 显示全部楼层 |阅读模式
      
      
      3月2日消息,近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN,这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪,受影响的HTTPS服务器数量大约为1150万左右。
      
      据OpenSSL安全公告,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。
      

      
      此外需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥来对上述两者的通信数据进行破解。
      
      据国外媒体报道,在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,受影响的网站包括雅虎、新浪、阿里巴巴等在内的大型网站。
      
      根据公告,安全研究人员Nimrod Aviram和Sebastian Schinzel于2015年12月29日将这一问题报告给了OpenSSL团队。随后,OpenSSL团队的Viktor Dukhovni和Matt Caswell共同开发出了针对此漏洞的修复补丁。
      
      而随着OpenSSL发布官方补丁,这一漏洞的详细信息被公开,或将有攻击者会利用这一漏洞来对服务器进行攻击。
      
      目前OpenSSL已针对该漏洞进行更新,OpenSSL默认禁用了SSLv2协议,并且移除了SSLv2协议的EXPORT系列加密算法。OpenSSL方面强烈建议用户停止使用SSLv2协议。
      
      OpenSSL是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。而由于OpenSSL的普及,导致其成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。
      
      2014年4月8日,OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏流血”——代表着最致命的内伤。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。
      
      

    升级   0.01%

  • TA的每日心情
    奋斗
    13 小时前
  • 签到天数: 1479 天

    连续签到: 20 天

    [LV.10]以坛为家III

    发表于 2016-3-2 22:08:33 | 显示全部楼层
    不管什么都要漏洞
     懒得打字嘛,点击右侧快捷回复;  
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表