设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

[预警]openssl再爆漏洞了,官方建议禁用SSLv2

2016-3-2 09:05| 发布者: 随便、先森。| 查看: 755| 评论: 0|来自: 360安全播报

摘要: CVE-2016-07031.Drown漏洞是什么?DROWN出了一个严重的漏洞影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。DROWN允许攻击者破坏这个加密体系,读取或偷取敏感通信 ...

CVE-2016-0703

1.Drown漏洞是什么?

DROWN出了一个严重的漏洞影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。

DROWN允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。经过我们的探测识别,大概有33%的HTTPS服务容易受此漏洞的影响。

2.我的站点受到影响吗?

现在流行的服务器和客户端使用TLS加密,然而,由于错误配置,许多服务器仍然支持SSLv2,这是一种古老的协议,实践中许多客户端已经不支持使用SSLv2。

DROWN攻击威胁到还在支持SSLv2的服务端和客户端,他允许攻击者通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。

http://p2.qhimg.com/t01c8befa2be94e1c67.jpg

允许SSLv2连接,比想象中的要常见,由于错误配置和不当的默认配置,我们调查17%的HTTPS服务器一直支持SSLV2连接

私钥被使用于其他支持SSLv2连接的服务,许多公司不允许使用相同的证书和私钥在他的WEB和EMAI服务,例如,下面这个案例,如果email服务支持sslv2,但是web服务不支持,攻击者能够利用EMAIL服务的sslv2漏洞切断到web服务器的tls的连接。

http://p4.qhimg.com/t0187464ee6b969fb82.jpg

        这个漏洞危害有多大?

http://p9.qhimg.com/t01a98c36598d8c6a26.png

可以通过https://test.drownattack.com/?site=你的站点来查看是否受影响

http://p3.qhimg.com/t01b18d8d2221c02a6c.png

        360网络攻防实验室的扫描数据统计如下:

China         109,725

 

TOP CITIES

Guangzhou             22,125

Nanjing                  14,491

Beijing                    9,863

Shanghai                7,439

Hangzhou              7,354



TOP SERVICES

HTTPS                  98,107

HTTPS (8443)                  7,105

POP3 + SSL                     1,536

IMAP + SSL                     1,336

SMTP + SSL                     1,231

 

TOP COUNTRIES

United States                  1,488,624

Italy                                 478,452

Poland                            303,657

Germany                         188,657

United Kingdom             171,379

 

TOP SERVICES

HTTPS                                    3,576,876

HTTPS (8443)                         213,439

POP3 + SSL                            153,069

IMAP + SSL                            144,410

SMTP + SSL                            51,585


3.怎么保护我自己?

确保你的私钥不适用于其他的支持sslv2服务,包括web,smtp,imap,pop服务等。禁止服务器端的sslv2支持。如果是Openssl,可以参考安装最新的补丁和操作辅导。https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

Microsoft IIS (Windows Server):iis 7和以上的版本默认已经禁止了sslv2。

详细的漏洞描述原理报告https://drownattack.com/drown-attack-paper.pdf

4、影响

oponssl安全公告:http://bobao.360.cn/learning/detail/2771.html

大部分支持SSLv2的服务器均会受到该漏洞影响!

稍后360安全技术团队会对此进行技术分析,360安全播报会持续跟进这个事件,大家请保持关注。


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部