报名参加CloudWeGo黑客松,奖金直推双丰收! 了解详情
写点什么

SSL 发现新漏洞,主要影响 OpenSSL 和 HTTPS 服务

  • 2016-03-10
  • 本文字数:1258 字

    阅读完需:约 4 分钟

日前两个独立的安全研究组织发布了两个新的、不同的严重漏洞,对象是互联网应用经常用到的 OpenSSL 加密库。哪些在系统(常见但不限于 Linux、Mac OS X、或其它基于 UNIX 的系统)中使用到 OpenSSL 的系统管理员们要开始审查补丁,并要尽快的应用这些补丁。需要重点提醒的是,此漏洞包含 DROWN,所以即使不是 OpenSSL 服务提供者也有非常大的风险。那些个系统中使用了 SSL/TLS 的人们请仔细阅读下面内容,以了解为何是高风险的。

DROWN

此次严重漏洞的其中之一被称之为 DROWN ,其是 Decrypting RSA with Obsolete and Weakened eNcryption 的缩写,意思是基于过时和孱弱的加密的 RSA 解密法。曾经有一份来自于学术界和商业界的研究者们出过的报告解释过 DROWN,DROWN 团队对此作了非常清楚的解释:

DROWN 展示了仅仅支持 SSLv2 的当下的服务器和客户端是非常脆弱的。它允许攻击者解密 TLS 的连接,即通过发送探针给支持 SSLv2 的服务而使用相同的私钥来更新客户端和服务器的连接。

这也就意味着服务器具有如下特征时是异常脆弱的:

  • 允许 SSLv2 的连接,根据之前他们所公开的研究,大约有 17% 的公开的 HTTPS 服务仍然使用的是 SSLv2 连接。
  • 它们的私钥是用于任何其它服务器的,且允许使用 SSLv2 的任何协议连接。

Matthew Green ,密码专家及教授, 撰文解释道,此漏洞的暴露部分原因是:“人们并不会购买多份证书,通常人们都会为服务器配置为同时支持 TLS 和 SSLv2,且使用同样的私钥来同时支持此两种协议。”

DROWN 团队发现了一个特定的组合,即 OpenSSL 和 DROWN 的组合,会产生更坏的影响。组合允许它们 “…在握手超时之前,在 TLS 在线回话中执行中间人攻击,甚至会允许攻击者连接到目标服务器中去执行非 RSA 相关的以及降级 TLS 的客户端来完成 RSA 密钥交换…” 这些攻击仅使用单核的机器就可以快速完成--注意既不是多 GPU 的集群系统,也不是大量的亚马逊 EC2 实例--这也就是意味着使用 DROWN 进行攻击非常的容易。

CacheBleed

若你觉得上述这个还不够触目惊心的话,接着往下看。另外一个影响到 OpenSSL 严重漏洞是由一个称之为 CacheBleed 的团队发布的,cacahebleed 这个项目旨在“通过在 Intel 处理器中的高速缓存区冲来达到信息泄漏的目的,是一种侧面的攻击”。此漏洞主要影响是那些“云服务中常见的不能彼此信任的负载…”,可以通过禁用 CPU 的超线程来缓解这一漏洞。目前该团队认为起码所有 Intel Sandy Bridge 系列处理器都受影响,以及旧的架构如 Nehalem 和 Core 2 可能收到影响。就目前来看,此攻击还无法攻破 Intel HasWell 系列。

总结

哪些使用 OpenBSD 基于 OpenSSL 的分支,称之为 LibreSSL 的系统管理员们可以松一口气,因为 DROWN 没有破解此版本。然而可以确信的是,若攻击者获得本地访问话,CacheBleed 还是会让你百分之百的中招。

因为 DROWN 的目标是 SSL 的使用,所以它所波及的不能仅仅局限于 OpenSSL ,所以运行 Windows IIS 的系统管理们不要掉以轻心,有必要去重新审核下自己的服务配置选项了。

查看英文原文: Major SSL Vulnerability Affects OpenSSL and HTTPS server traffic

2016-03-10 18:005833
用户头像

发布了 33 篇内容, 共 12.7 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

IO原理(二):多路复用

苏格拉格拉

reactor nio epoll IO多路复用 IO模型

【LeetCode】数组元素积的符号Java题解

Albert

算法 LeetCode 11月月更

漫画|微信群聊的程序员们

肥晨

程序员生活 11月月更 程序员漫画

算法题学习---两个链表的第一个公共结点

桑榆

算法题 11月月更

教学:制作 GitHub 同步近期博客卡片

小鑫同学

前端 Github' 11月月更

网络安全之命令执行漏洞复现

网络安全学海

黑客 网络安全 信息安全 渗透测试 漏洞挖掘

2022-11-15:这里有 n 个航班,它们分别从 1 到 n 进行编号。 有一份航班预订表 bookings , 表中第 i 条预订记录 bookings[i] = [firsti, lasti,

福大大架构师每日一题

算法 rust 福大大

分布式系统设计之常见的负载均衡算法

闫同学

负载均衡 11月月更 分布式系统设计

Baklib|信息管理和知识管理是如何影响你的业务的?

Baklib

知识管理

OpenSergo 流量路由:从场景到标准化的探索

阿里巴巴云原生

阿里云 微服务 云原生

自制操作系统日记(6):静态桌面初步

操作系统

Pytorch实现经典模型AlexNet模型

Studying_swz

深度学习 11月月更

【愚公系列】2022年11月 微信小程序-app.json配置属性之requiredBackgroundModes

愚公搬代码

11月月更

当前API安全产品现状

阿泽🧸

API 11月月更

Go易错集锦、优秀开源包、实战案例合集

Go学堂

Go 内容合集 签约计划第二季 技术专题合集

更快更稳更易用: Flink 自适应批处理能力演进

Apache Flink

大数据 flink

有趣的 Go HttpClient 超时机制

捉虫大师

Go HTTP 11月月更

IM开源项目OpenIM部署文档-从准备工作到nginx配置

Geek_1ef48b

简单组合逻辑电路

芯动大师

Verilog LED数码管 11月月更

Docker Compose快速部署多容器服务实战

闫同学

Docker 容器 11月月更

组织赋能,统一企业门户实现高效化、移动化协作

BeeWorks

如何在SpringBoot项目中,实现记录用户登录的IP地址及归属地信息?

wljslmz

日志 IP springboot 登录 11月月更

JS in CSS:一键支持响应式布局

iofod jude

前端 后端 低代码 iofod

一个程序员眼中的裁员潮

HoneyMoose

web前端面试技巧-如何自我介绍?如何应对hr?

肥晨

前端面试 面试技巧 11月月更

数据指标体系搭建步骤

穿过生命散发芬芳

11月月更 数据指标体系

Baklib|我的企业是不是需要一个维基页面呢?

Baklib

维基

Baklib|SaaS产品,实现企业流程数字化

Baklib

SaaS

IM即时通讯私有化部署,WorkPlus助力企业构建安全办公环境

BeeWorks

裁员潮血洗硅谷是坏事还是好事

HoneyMoose

官宣|Apache Flink 1.16 发布公告

Apache Flink

SSL发现新漏洞,主要影响OpenSSL和HTTPS服务_DevOps & 平台工程_Jeff Martin_InfoQ精选文章