文章资讯

今日环度科技收到相关消息称外国研究人员发现OpenSSL出现新的安全漏洞“DROWN”,全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”。据OpenSSL安全公告,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

此外需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥来对上述两者的通信数据进行破解。

我们建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如“DROWN”攻击之类的安全威胁,最好在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。

20160302200157_74697

其次,请关闭所有服务器的SSLv2协议。最后,如果使用了OpenSSL,请关注参考OpenSSL官方给出的DROWN修复指南。

以下是OpenSSL官方给出的指南:原文地址:https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

备案号: 沪ICP备15024910号-2