自动发帖软件

标题: OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪 HTTPS网站也并非是十分十美的东东 [打印本页]

作者: 发帖软件 时间: 2016-3-8 06:00
标题: OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪 HTTPS网站也并非是十分十美的东东
OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪

3月2日消息，近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN，这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪，受影响的HTTPS服务器数量大约为1150万左右。

据OpenSSL安全公告，DROWN是一种跨协议攻击，如果服务器使用了SSLv2协议和EXPORT加密套件，那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪 HTTPS网站也并非是十分十美的东东群发软件发帖工具

OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪 HTTPS网站也并非是十分十美的东东群发软件发帖工具

此外需要注意的是，客户端与不存在漏洞的服务器进行通信时，攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件（即使服务器使用了不同的协议，例如SMTP，IMAP或者POP等协议）的服务器RSA密钥来对上述两者的通信数据进行破解。

据国外媒体报道，在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响，受影响的网站包括雅虎、新浪、阿里巴巴等在内的大型网站。

根据公告，安全研究人员Nimrod Aviram和Sebastian Schinzel于2015年12月29日将这一问题报告给了OpenSSL团队。随后，OpenSSL团队的Viktor Dukhovni和Matt Caswell共同开发出了针对此漏洞的修复补丁。

而随着OpenSSL发布官方补丁，这一漏洞的详细信息被公开，或将有攻击者会利用这一漏洞来对服务器进行攻击。

目前OpenSSL已针对该漏洞进行更新，OpenSSL默认禁用了SSLv2协议，并且移除了SSLv2协议的EXPORT系列加密算法。OpenSSL方面强烈建议用户停止使用SSLv2协议。

OpenSSL是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。而由于OpenSSL的普及，导致其成为了DROWN攻击的主要攻击目标，但是它并也不是DROWN攻击的唯一目标。

2014年4月8日，OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏流血”——代表着最致命的内伤。利用该漏洞，黑客坐在自己家里电脑前，就可以实时获取到约30%https开头网址的用户登录账号密码，包括大批网银、购物网站、电子邮件等。

HTTPS网站也并非是十分十美的东东

据悉，外国研究人员发现OpenSSL出现新的安全漏洞“DROWN”，该漏洞将对SSL协议造成安全威胁，攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后，第一时间发布安全建议，并为SSL证书用户提供检测服务和技术咨询，帮助用户及时规避该漏洞可能造成的影响。

　　什么是Drown漏洞

　　“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption，即“利用过时的脆弱加密算法来对RSA算法进破解”，指利用SSLv2协议漏洞来对TLS进行跨协议攻击。

　　“DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议，许多客户端已经不支持使用，但由于配置上的问题，许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如：将相同的私钥同时用在Web服务端和Email服务端，如果Email服务支持SSLv2，但web服务不支持，那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。

　　用户可以通过DROWN攻击漏洞测试，测试自己的网站是否遭遇安全威胁，建议将各类站点都进行全面体检。

　　沃通安全建议

　　首先，沃通CA建议用户不要用相同的私钥生成多张SSL证书，也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书，能节省证书部署成本，但是为了规避诸如“DROWN”攻击之类的安全威胁，沃通CA建议在服务器上均部署独立的SSL证书，这样攻击者将无法利用其它服务器的漏洞，对关键服务器进行攻击，即使其中一台服务器出现问题也不会影响其他服务器的正常运行。欢迎登录沃通数字证书商店，为您的所有重要应用服务器申请独立的SSL证书。

　　其次，关闭所有服务器的SSLv2协议，参考如何禁用SSL2.0协议。

作者: wbd902 时间: 2016-4-2 11:10
任了，就像巴黎欧莱雅，你值得拥有

作者: xoxo110 时间: 2016-4-13 21:05
说。。。

作者: qiaozong01 时间: 2016-4-15 15:02
沟通问题已经解决，客服晨曦服务态度比较好。就是线上沟通，有些困难。希望可以尽快完善。合作愉快

作者: zdxhz 时间: 2016-4-20 08:13
富，操作简单方便，很实用，服务态度很好。满意。

作者: 我爱苏苏 时间: 2016-5-27 13:11
酷很霸气哦！服务真的真的很好哟~~赞一个，还会推荐其他商家来的哦~~棒

作者: wbd902 时间: 2016-6-15 11:07
，，价格又便宜。。

作者: loverun 时间: 2016-6-17 09:07
有机会继续合作！

作者: 261741908 时间: 2016-6-27 08:55
有机会继续合作！

作者: meng00123 时间: 2016-7-2 08:15
是仿站仿出来的效果很好出乎大家的预料中间按照我们的要求又改了一些地方增加了技术人员不少工作量077号笨蛋棒棒哒很耐心技术过硬

作者: 小白 时间: 2016-7-3 17:00
图片真的好棒欢型

作者: huanyili998 时间: 2016-7-25 17:02
，大家要小心啊

作者: 木蒙花 时间: 2016-9-17 20:06
，功能齐全，不懂的地方反复讲解，服务态度可以，赞一个。

作者: jh134724 时间: 2016-9-25 16:51
在忙别的事情，搭建速度好快，对微信公众平台还不是很了解，需要后期再请教学习了。服务很好，感觉舒心。

作者: chenzhanhua 时间: 2016-9-30 21:34
营销很是火爆，我们也一起加入了，朋友推荐的这个软件，很不错，增加了不少客户呢。

作者: daoke 时间: 2016-10-4 16:23
模版好看时尚老板服务态度好下次继续光临这家店好评！

作者: nble002 时间: 2016-10-23 21:37
错效率很高价格合理还会来的

作者: lalajie 时间: 2016-10-30 19:25
这家公司建站了，服务很周到！37号笨蛋和18号笨蛋很耐心的讲解跟指导，5分好评！

作者: 694012770 时间: 2016-11-20 07:05
棒棒的，态度也很好，分分钟就搞定了，感谢，?

欢迎光临自动发帖软件 (http://www.fatiegongju.com/)