写点什么

SSL 发现新漏洞,主要影响 OpenSSL 和 HTTPS 服务

  • 2016-03-10
  • 本文字数:1258 字

    阅读完需:约 4 分钟

日前两个独立的安全研究组织发布了两个新的、不同的严重漏洞,对象是互联网应用经常用到的 OpenSSL 加密库。哪些在系统(常见但不限于 Linux、Mac OS X、或其它基于 UNIX 的系统)中使用到 OpenSSL 的系统管理员们要开始审查补丁,并要尽快的应用这些补丁。需要重点提醒的是,此漏洞包含 DROWN,所以即使不是 OpenSSL 服务提供者也有非常大的风险。那些个系统中使用了 SSL/TLS 的人们请仔细阅读下面内容,以了解为何是高风险的。

DROWN

此次严重漏洞的其中之一被称之为 DROWN ,其是 Decrypting RSA with Obsolete and Weakened eNcryption 的缩写,意思是基于过时和孱弱的加密的 RSA 解密法。曾经有一份来自于学术界和商业界的研究者们出过的报告解释过 DROWN,DROWN 团队对此作了非常清楚的解释:

DROWN 展示了仅仅支持 SSLv2 的当下的服务器和客户端是非常脆弱的。它允许攻击者解密 TLS 的连接,即通过发送探针给支持 SSLv2 的服务而使用相同的私钥来更新客户端和服务器的连接。

这也就意味着服务器具有如下特征时是异常脆弱的:

  • 允许 SSLv2 的连接,根据之前他们所公开的研究,大约有 17% 的公开的 HTTPS 服务仍然使用的是 SSLv2 连接。
  • 它们的私钥是用于任何其它服务器的,且允许使用 SSLv2 的任何协议连接。

Matthew Green ,密码专家及教授, 撰文解释道,此漏洞的暴露部分原因是:“人们并不会购买多份证书,通常人们都会为服务器配置为同时支持 TLS 和 SSLv2,且使用同样的私钥来同时支持此两种协议。”

DROWN 团队发现了一个特定的组合,即 OpenSSL 和 DROWN 的组合,会产生更坏的影响。组合允许它们 “…在握手超时之前,在 TLS 在线回话中执行中间人攻击,甚至会允许攻击者连接到目标服务器中去执行非 RSA 相关的以及降级 TLS 的客户端来完成 RSA 密钥交换…” 这些攻击仅使用单核的机器就可以快速完成--注意既不是多 GPU 的集群系统,也不是大量的亚马逊 EC2 实例--这也就是意味着使用 DROWN 进行攻击非常的容易。

CacheBleed

若你觉得上述这个还不够触目惊心的话,接着往下看。另外一个影响到 OpenSSL 严重漏洞是由一个称之为 CacheBleed 的团队发布的,cacahebleed 这个项目旨在“通过在 Intel 处理器中的高速缓存区冲来达到信息泄漏的目的,是一种侧面的攻击”。此漏洞主要影响是那些“云服务中常见的不能彼此信任的负载…”,可以通过禁用 CPU 的超线程来缓解这一漏洞。目前该团队认为起码所有 Intel Sandy Bridge 系列处理器都受影响,以及旧的架构如 Nehalem 和 Core 2 可能收到影响。就目前来看,此攻击还无法攻破 Intel HasWell 系列。

总结

哪些使用 OpenBSD 基于 OpenSSL 的分支,称之为 LibreSSL 的系统管理员们可以松一口气,因为 DROWN 没有破解此版本。然而可以确信的是,若攻击者获得本地访问话,CacheBleed 还是会让你百分之百的中招。

因为 DROWN 的目标是 SSL 的使用,所以它所波及的不能仅仅局限于 OpenSSL ,所以运行 Windows IIS 的系统管理们不要掉以轻心,有必要去重新审核下自己的服务配置选项了。

查看英文原文: Major SSL Vulnerability Affects OpenSSL and HTTPS server traffic

2016-03-10 18:006084
用户头像

发布了 33 篇内容, 共 13.6 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

使用<input>标签实现六个格子验证码输入框

码上生长

Java vue.js 大前端

100天从 Python 小白到大神最良心的学习资源!

JackTian

Python GitHub 学习 Python-100-Days Python-Core-50-Courses

一致性算法 Raft 简述

架构精进之路

raft 一致性算法

终于,我也到了和Eclipse说再见的时候,难说再见

程序员小跃

Java eclipse IDEA

栀子花,我们应该像你一样静静绽放

小天同学

个人感想 感悟 日常思考

点击劫持:无X-Frame-Options头信息(修复)

唯爱

源码分析 | Mybatis接口没有实现类为什么可以执行增删改查

小傅哥

Java 源码分析 小傅哥 mybatis 编程思维

redis过期策略和内存淘汰机制

wjchenge

ARTS week 2

锈蠢刀

突破困局

Neco.W

感悟 工作 创业心态

健身一周年:持续锻炼带来无法想象的改变

小鲸数据

学习 职业 专注 健身

数据与广告系列三:合约广告与与衍生的第三方广告数据监控

黄崇远@数据虫巢

数据挖掘 互联网 广告 移动互联网

Spring Security 两种资源放行策略,千万别用错了!

江南一点雨

Java spring springboot springsecurity

宕机原因千千万,被雷劈了最无奈

田晓旭

你的团队是干什么的?

姜戈

团队管理 团队职能

假如孔乙己是程序员

顿晓

学习 程序员 孔乙己

Android原生人脸识别Camera2+FaceDetector 快速实现人脸跟踪

sar

你真的会用Mac中的Finder吗

Winann

macos 效率 App Mac

实现元素等高: Flexbox vs. Grid

寇云

CSS css3

联邦学习与推荐系统

博文视点Broadview

人工智能 大数据 学习 推荐系统

多线程与线程安全(实例讲解)

YoungZY

Java 多线程 线程安全

码农远程办公指北

大伟

好的软件工程原则

pydata

你为什么“啃不动”你手中的技术书?

图灵社区

Java Python 算法 HTTP R语言

管理规划篇

姜戈

团队管理 团队组织

你的团队想做出什么成果?

姜戈

团队管理

揭秘神经拟态计算:缘何成为AI界新宠?

最新动态

Vol.1 Java初探,新手必看!

pyfn2030

编程 新手指南

提升输入效率第一步——切换双拼

dongh11

效率工具 提升效率 生产力 分享 有趣

软件开发生产率改进之我见(二)

清水

软件工程 软件开发 技术管理

python实现·十大排序算法之计数排序(Counting Sort)

南风以南

Python 排序算法 计数排序

SSL发现新漏洞,主要影响OpenSSL和HTTPS服务_DevOps & 平台工程_Jeff Martin_InfoQ精选文章