OpenSSL今日發(fā)現(xiàn)一嚴(yán)重漏洞——水牢漏洞(DROWN漏洞)�,可能影響部分使用HTTPS的服務(wù)及網(wǎng)站。利用該漏洞�,攻擊者可以監(jiān)聽加密流量,讀取諸如密碼�、信用卡賬號(hào)、商業(yè)機(jī)密和金融數(shù)據(jù)等加密信息��。目前全球有大約400萬網(wǎng)站和服務(wù)易受此漏洞的影響�。 360網(wǎng)絡(luò)攻防實(shí)驗(yàn)室經(jīng)初步統(tǒng)計(jì),我國有109725個(gè)網(wǎng)站可能受到此漏洞的影響����。360專門開發(fā)了此漏洞的在線檢測(cè)工具。 HTTPS是一種Web瀏覽器與網(wǎng)站服務(wù)器之間傳遞信息的協(xié)議����,該協(xié)議以加密形式發(fā)送通信內(nèi)容����,保證用戶上網(wǎng)時(shí)的信息無法被第三方截獲并解密讀取�����。SSLv2是一種古老的協(xié)議��,官方已經(jīng)建議禁用SSLv2�,Microsoft IIS (Windows Server):iis 7和以上的版本默認(rèn)已經(jīng)禁止了sslv2��,實(shí)踐中也有許多客戶端已經(jīng)不支持使用SSLv2��。然而由于錯(cuò)誤配置�����,許多網(wǎng)站仍然支持SSLv2�����。 水牢漏洞可以允許攻擊者破壞使用SSLv2協(xié)議進(jìn)行加密的HTTPS網(wǎng)站�,讀取經(jīng)加密傳輸?shù)拿舾型ㄐ牛艽a��、信用卡帳號(hào)、商業(yè)機(jī)密���、金融數(shù)據(jù)等�����。 360安全專家蔡玉光分析�����,水牢漏洞利用難度較高����,需要攻擊者截獲經(jīng)HTTPS加密的通信數(shù)據(jù)����,并破解此數(shù)據(jù)應(yīng)送達(dá)的服務(wù)器的密鑰,才可讓攻擊者對(duì)所截獲的數(shù)據(jù)進(jìn)行解密�。破解密鑰需要使用一定性能的計(jì)算集群,并花費(fèi)8個(gè)小時(shí)����。租用計(jì)算集群的成本約400美金左右(以租用亞馬遜集群的費(fèi)用為準(zhǔn))。但一旦攻擊成功�,攻擊者就可以破解其截獲的所有加密數(shù)據(jù)����。 360部分網(wǎng)站也在使用OpenSSL��,但是360在重要的系統(tǒng)中禁止了不安全的加密套件��,因此不受“水牢”漏洞影響�����。 蔡玉光建議受到此漏洞影響的用戶應(yīng)確認(rèn)其私鑰不適用于其他的支持sslv2服務(wù)����,包括web��、smtp�����、imap�、pop服務(wù)等,并禁止服務(wù)器端的sslv2支持���。另外可以對(duì)OpenSSL進(jìn)行更新����。
| 
