OpenSSL又出新漏洞 超过1100万https站点受影响

影响超过1100万网站

我们将利用这一漏洞来进行攻击的行为称为“DROWN攻击”（ DecryptingRSA with Obsolete and Weakened eNcryption），即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测，这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。

发现这一漏洞的相关研究人员表示，受影响的HTTPS服务器数量大约为1150万左右。

那么，DROWN到底有多么恐怖呢？在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响，攻击者可以利用DROWN来对目标服务器进行中间人攻击，受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。

FreeBuf 百科：OpenSSL

OpenSSL 是一个强大的安全套接字层密码库，其囊括了目前主流的密码算法，常用的密钥，证书封装管理功能以及SSL协议，并提供了丰富的应用程序可供开发人员测试或其它目的使用。

由于OpenSSL的普及，导致这一开源的安全工具成为了DROWN攻击的主要攻击目标，但是它并也不是DROWN攻击的唯一目标。

微软的互联网信息服务（IIS）v7已经过时了，而且这项服务在此之前还曾曝出过漏洞，但是微软的工作人员已经解决了IIS中的安全问题。但是2012年之前发布的3.13版本网络安全服务（NSS）（一款内嵌于大量服务器产品中的通用加密代码库）仍然存在漏洞，所以运行了上述版本NSS工具的服务器仍然有可能受到黑客的攻击。

漏洞检测及安全建议

用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。

无论在何种情况下，如果你使用了OpenSSL来作为你的安全保护工具，而且目前大多数人也确实是这样的，那么我们的建议如下：

使用了OpenSSL 1.0.2的用户应该立刻将OpenSSL更新至1.0.2g；

使用了OpenSSL1.0.1的用户应该立刻将OpenSSL更新至1.0.1s；

如果用户使用的是其他版本的OpenSSL，那么请用户立即将产品版本更新至1.0.2g或者1.0.1s。

如果你使用的是其他的程序，那么你早就应该将你所使用的ISS和NSS更新至最新版本了。如果你现在还没有这样做，那么也没有什么好惭愧的，赶紧动手去做就可以了。

当然了，我们也有关于DROWN攻击的好消息带给大家－幸好这一漏洞是由安全研究人员所发现的。但坏消息就是，既然这一漏洞的详细信息已经被公开了，那么不出意外的话，攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

研究人员的描述称：

“在研究的过程中，我们曾尝试对一台单一的服务器进行攻击。服务器中加载了含有漏洞CVE-2016-0703的OpenSSL，然后我们便在不到一分钟的时间里成功地入侵了这台服务器。即使服务器本身不存在这些特殊的漏洞，但是攻击方法永远都会处于发展之中，所以DROWN攻击的变种还可以对使用了SSLv2协议的服务器进行攻击，整个攻击过程不会超过八个小时，攻击成本大约在440美金左右。”

也许你会觉得奇怪，在过去的20年时间里，SSLv2协议的安全性是得到了大家普遍认可的，为什么就连这样的一种协议都有可能受到这一漏洞的影响？研究人员认为：

“即便是服务器仅仅启用了SSLv2协议，而且也没有合法用户使用过这一协议，但服务器和客户端仍然有可能遭受到DROWN攻击。”

研究人员补充说到：

“这一漏洞将允许攻击者对使用了TLS安全传输层协议的通信连接进行解密。当前最新的客户端和服务器之间如果使用了TLS协议来作为信息传输的安全保障，那么攻击者就可以通过向支持和使用SSLv2 协议的服务器发送探针，然后对通信数据进行捕获和解密。”

Ivan Ristic是Qualys公司的工程总监，而且他也是Qualys公司SSL实验室的高管。他表示：

“这种类型的攻击是非常严重的。我的建议是，用户首先要确保的就是自己系统的安全性。幸运的是，修复这一问题是非常简单的：禁用所有服务器中的SSLv2协议。这一操作非常的简单，但是我指的是－所有的服务器！如果你一直在重复使用同一个RSA[Rivest-Shamir-Adleman]密钥的话(即便是采用了不同的证书)，禁用掉一台服务器上的SSLv2协议是不会给系统的安全带来多少显著变化的。因为，如果其他的服务器仍然正在使用这一带有漏洞的协议，那么你整个网络中的服务器（即使这些服务器使用的是不同的主机名，端口，甚至是不同的协议）都将有可能受到黑客的攻击。”

事实就是这样，即使是 安全“的服务器也有可能会被入侵，因为这些安全的服务器与存在漏洞的服务器是处于同一网络系统中的。利用Bleichenbacher攻击，RSA私钥也可以被解密。也就是说，我们也可以利用这一技术来对那些使用了这些私钥的“安全”服务器进行攻击。

赶紧修复这一漏洞！

除了OpenSSL发布的官方补丁之外，我们还可以从其他的渠道获取到漏洞补丁——例如Canonical、红帽以及SUSE Linux等公司，这些公司将会在第一时间向用户提供更新补丁。