服务热线: 4007-166-188

服务器租用,服务器托管,云主机,IDC机房,云服务器,IDC提供商,唯一网络

热门: 服务器租用| 服务器托管| 云安全| 机柜大带宽| 网络安全
首页>帮助中心>网络安全>1100万https站点SSL服务器爆出安全漏洞
关注企业中心微信公众号
微信公众号:唯一网络
我们的微信公众号
  • 1
  •  唯一网络元宵促销

需要帮助?

服务热线:
4007-166-188 在线咨询

1100万https站点SSL服务器爆出安全漏洞

发布时间: 2016/03/03    

  1100万https站点SSL服务器爆出安全漏洞
     据了解,最近有研究人员在OpenSSL中发现了一个新的安全漏洞,这个漏洞将会对SSL(安全套接层)安全协议产生巨大的影响,而且攻击者还有可能利于这个漏洞来对现代的Web网络站点进行攻击。

  超过1100万https站点受影响

        那么,DROWN到底有多么恐怖网络安全呢?在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,攻击者可以利用DROWN来对目标服务器进行中间人攻击,受影响的网站还包括雅虎、新浪以及阿里巴巴等大型网站在内。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。

  FreeBuf 百科:OpenSSL

  OpenSSL 是一个强大的安全套接字层密码库,其囊括了目前主流的密码算法,常用的密钥,证书封装管理功能以及SSL协议,并提供了丰富的应用程序可供开发人员测试或其它目的使用。

  由于OpenSSL的普及,导致这一开源的安全工具成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。

  微软的互联网信息服务(IIS)v7已经过时了,而且这项服务在此之前还曾曝出过漏洞,但是微软的工作人员已经解决了IIS中的安全问题。但是2012年之前发布的3.13版本网络安全服务(NSS)(一款内嵌于大量服务器产品中的通用加密代码库)仍然存在漏洞,所以运行了上述版本NSS工具的服务器仍然有可能受到黑客的攻击。

  漏洞检测及安全建议

  用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。

  无论在何种情况下,如果你使用了OpenSSL来作为你的安全保护工具,而且目前大多数人也确实是这样的,那么我们的建议如下:

  使用了OpenSSL 1.0.2的用户应该立刻将OpenSSL更新至1.0.2g;

  使用了OpenSSL1.0.1的用户应该立刻将OpenSSL更新至1.0.1s;

  如果用户使用的是其他版本的OpenSSL,那么请用户立即将产品版本更新至1.0.2g或者1.0.1s。

  如果你使用的是其他的程序,那么你早就应该将你所使用的ISS和NSS更新至最新版本了。如果你现在还没有这样做,那么也没有什么好惭愧的,赶紧动手去做就可以了。

  当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

  研究人员的描述称:

  “在研究的过程中,我们曾尝试对一台单一的服务器进行攻击。服务器中加载了含有漏洞CVE-2016-0703的OpenSSL,然后我们便在不到一分钟的时间里成功地入侵了这台服务器。即使服务器本身不存在这些特殊的漏洞,但是攻击方法永远都会处于发展之中,所以DROWN攻击的变种还可以对使用了SSLv2协议的服务器进行攻击,整个攻击过程不会超过八个小时,攻击成本大约在440美金左右。”

  也许你会觉得奇怪,在过去的20年时间里,SSLv2协议的安全性是得到了大家普遍认可的,为什么就连这样的一种协议都有可能受到这一漏洞的影响?研究人员认为:

  “即便是服务器仅仅启用了SSLv2协议,而且也没有合法用户使用过这一协议,但服务器和客户端仍然有可能遭受到DROWN攻击。”

1100万https站点SSL服务器爆出安全漏洞

  事实就是这样,即使是‘安全“的服务器也有可能会被入侵,因为这些安全的服务器与存在漏洞的服务器是处于同一网络系统中的。利用Bleichenbacher攻击,RSA私钥也可以被解密。也就是说,我们也可以利用这一技术来对那些使用了这些私钥的“安全”服务器进行攻击。

  赶紧修复这一漏洞!

  除了OpenSSL发布的官方补丁之外,我们还可以从其他的渠道获取到漏洞补丁——例如Canonical、红帽以及SUSE Linux等公司,这些公司将会在第一时间向用户提供更新补丁。
       
       唯一网络在获得这消息第一时间把企业里所有服务器都升级,为什么能这么迅速?11年的IDC运营经验,让唯一网的数据中心的运维团队多达上百人,7*24小时数据中心现场驻点,为所有服务器租用托管客户网站得到最好的安全保障!做国内最好的idc服务商是唯一网络的目标。

      服务器租用/服务器托管最具实力IDC提供商!十年品牌保障 - 唯一网络!
      转载请注明:唯一网络http://www.wy.cn