【漏洞预警】OpenSSL再曝高危漏洞 全球超过1100万站点受到影响（附测试链接）

jack

OpenSSL最近曝出一个致命漏洞，全球超过1千万站点受到影响，国内阿里吧吧, 微博,
新浪等主流网站也未能幸免。这些站点的一个共同特点是开启了SSLv2传输层安全协议。这次被披露的SSLv2漏洞被命名为“DROWN”漏洞，只需要很低的成本（$440）就可以解密敏感通信数据，包括密码，信用卡帐号,商业机密,金融数据等。经过探测识别，大概有33%的HTTPS服务容易受此漏洞的影响！

安全人员：

“我们在一分钟内用一台PC对OpenSSL（CVE-2016-0703）易受影响的版本进行了成功的攻击。其中对任意的SSLv2服务器，可以在8小时内用$ 440总成本完成攻击“。而SSL和TLS协议则是为了保证用户上网，购物，即时通信而不被第三方读取到，这个漏洞对于用户来说实在是太危险了。

我的站点受到影响吗?

可通过测试链接：

https://test.drownattack.com/  

测试站点是否受到影响

进一步问题确认以及参考可进入：

http://www.softwaresecured.com/2016/03/01/how-to-confirm-whether-you-are-vulnerable-to-the-drown-attack/

现在流行的服务器和客户端使用TLS加密,然而,由于错误配置,许多服务器仍然支持SSLv2,这是一种古老的协议,实践中许多客户端已经不支持使用SSLv2。

DROWN攻击威胁到还在支持SSLv2的服务端和客户端,他允许攻击者通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。

允许SSLv2连接,比想象中的要常见,由于错误配置和不当的默认配置,我们调查17%的HTTPS服务器一直支持SSLV2连接。

私钥被使用于其他支持SSLv2连接的服务,许多公司不允许使用相同的证书和私钥在他的WEB和EMAI服务,例如,下面这个案例,如果email服务支持sslv2,但是web服务不支持,攻击者能够利用EMAIL服务的sslv2漏洞切断到web服务器的tls的连接。

33％以上的HTTPS服务器都容易受到DROWN漏洞攻击！

致命的缺陷影响了全世界多达11.5万台服务器，有Alexa的顶级网站，包括雅虎，阿里巴巴，新浪微博，新浪网，BuzzFeed使用的Flickr，StumbleUpon公司，4Shared和三星，都可能遭受Down漏洞的MITM攻击。

除了开源的OpenSSL，微软的Internet信息服务（IIS）7及更早的版本，以及之前3.13版本的网络安全服务（NSS）加密库内置的服务器产品也给Down攻击提供了便利。

最后：如何保护自己？

OpenSSL1.0.2用户我们强烈建议升级到OpenSSL 1.0.2g。1.0.1的建议用户升级到OpenSSL的1.0.1s。如果你正在使用OpenSSL的另一个版本，为了安全性，应该升级到最新的版本1.0.2g或1.0.1s。

为了保护自己不受攻击，你应该确保SSLv2被禁用，以及确保私钥不会在任何其它服务器上共享。