AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

SSL 发现新漏洞,主要影响 OpenSSL 和 HTTPS 服务

  • 2016-03-10
  • 本文字数:1258 字

    阅读完需:约 4 分钟

日前两个独立的安全研究组织发布了两个新的、不同的严重漏洞,对象是互联网应用经常用到的 OpenSSL 加密库。哪些在系统(常见但不限于 Linux、Mac OS X、或其它基于 UNIX 的系统)中使用到 OpenSSL 的系统管理员们要开始审查补丁,并要尽快的应用这些补丁。需要重点提醒的是,此漏洞包含 DROWN,所以即使不是 OpenSSL 服务提供者也有非常大的风险。那些个系统中使用了 SSL/TLS 的人们请仔细阅读下面内容,以了解为何是高风险的。

DROWN

此次严重漏洞的其中之一被称之为 DROWN ,其是 Decrypting RSA with Obsolete and Weakened eNcryption 的缩写,意思是基于过时和孱弱的加密的 RSA 解密法。曾经有一份来自于学术界和商业界的研究者们出过的报告解释过 DROWN,DROWN 团队对此作了非常清楚的解释:

DROWN 展示了仅仅支持 SSLv2 的当下的服务器和客户端是非常脆弱的。它允许攻击者解密 TLS 的连接,即通过发送探针给支持 SSLv2 的服务而使用相同的私钥来更新客户端和服务器的连接。

这也就意味着服务器具有如下特征时是异常脆弱的:

  • 允许 SSLv2 的连接,根据之前他们所公开的研究,大约有 17% 的公开的 HTTPS 服务仍然使用的是 SSLv2 连接。
  • 它们的私钥是用于任何其它服务器的,且允许使用 SSLv2 的任何协议连接。

Matthew Green ,密码专家及教授, 撰文解释道,此漏洞的暴露部分原因是:“人们并不会购买多份证书,通常人们都会为服务器配置为同时支持 TLS 和 SSLv2,且使用同样的私钥来同时支持此两种协议。”

DROWN 团队发现了一个特定的组合,即 OpenSSL 和 DROWN 的组合,会产生更坏的影响。组合允许它们 “…在握手超时之前,在 TLS 在线回话中执行中间人攻击,甚至会允许攻击者连接到目标服务器中去执行非 RSA 相关的以及降级 TLS 的客户端来完成 RSA 密钥交换…” 这些攻击仅使用单核的机器就可以快速完成--注意既不是多 GPU 的集群系统,也不是大量的亚马逊 EC2 实例--这也就是意味着使用 DROWN 进行攻击非常的容易。

CacheBleed

若你觉得上述这个还不够触目惊心的话,接着往下看。另外一个影响到 OpenSSL 严重漏洞是由一个称之为 CacheBleed 的团队发布的,cacahebleed 这个项目旨在“通过在 Intel 处理器中的高速缓存区冲来达到信息泄漏的目的,是一种侧面的攻击”。此漏洞主要影响是那些“云服务中常见的不能彼此信任的负载…”,可以通过禁用 CPU 的超线程来缓解这一漏洞。目前该团队认为起码所有 Intel Sandy Bridge 系列处理器都受影响,以及旧的架构如 Nehalem 和 Core 2 可能收到影响。就目前来看,此攻击还无法攻破 Intel HasWell 系列。

总结

哪些使用 OpenBSD 基于 OpenSSL 的分支,称之为 LibreSSL 的系统管理员们可以松一口气,因为 DROWN 没有破解此版本。然而可以确信的是,若攻击者获得本地访问话,CacheBleed 还是会让你百分之百的中招。

因为 DROWN 的目标是 SSL 的使用,所以它所波及的不能仅仅局限于 OpenSSL ,所以运行 Windows IIS 的系统管理们不要掉以轻心,有必要去重新审核下自己的服务配置选项了。

查看英文原文: Major SSL Vulnerability Affects OpenSSL and HTTPS server traffic

2016-03-10 18:005990
用户头像

发布了 33 篇内容, 共 13.3 次阅读, 收获喜欢 13 次。

关注

评论

发布
暂无评论
发现更多内容

IT自由职业者是怎么样的感受和体验

奈学教育

IT

作业一:食堂就餐卡系统设计

LN

第一周练习1 食堂就餐卡系统设计

王鑫龙

极客大学架构师训练营

开启“观察者模式”,跳出灵魂看自己

小天同学

日常思考 个人感悟

读笔 | 听说你也想辞职去摆摊?何不先收下这份秘籍

张鸱鸺

读书笔记 摆地摊 社会话题

【架构师训练营】第1周作业2—学习总结

花生无翼

就餐卡系统设计

烟雨濛濛

极客大学架构师训练营

怎样才能像月「睡后收入」 20 万的独立开发者一样挣钱?

非著名程序员

程序员 独立开发者 程序人生 提升认知

S型曲线 - 第二曲线

石云升

创新 增长 S型理论 第二曲线 破坏式创新

作业二:根据当周学习情况,完成一篇学习总结

LN

架构师训练营第一周学习总结

烟雨濛濛

推荐几款基于 Markdown 语法在线制作简历的平台

JackTian

GitHub 网站 markdown 简历 工具软件

Hyperledger Fabric基础知识

程序那些事

区块链 以太坊 超级账本 hyperledger fabric

【架构师训练营】第 1 周作业1—食堂就餐卡系统设计

花生无翼

极客大学架构师训练营

极客时间 - 架构师训练营 - week1 - 课堂笔记

毛聪

极客大学架构师训练营

分布式账本简介

程序那些事

区块链 分布式系统 区块链技术 hyperledger fabric

食堂就餐卡系统设计

TiK

架构师训练营第一周总结

Linuxer

极客大学架构师训练营

深圳各大知名办公园区引进 GoWork 智能楼宇管理系统,开启商业地产行业的春天

Geek_116789

如何使用UML做需求分析与系统架构

JefferLiu

UML 架构文档

Fabric的6大特性

程序那些事

区块链 blockchain 区块链技术 hyperledger fabric

食堂就餐卡系统架构设计文档

竹森先生

极客大学 架构设计 极客大学架构师训练营

食堂就餐卡系统设计

戴维斯

PostgreSQL权限控制

唯爱

标题

lai

架构师训练营第一周总结

极客大学架构师训练营

IT自由职业者是怎么样的感受和体验

古月木易

IT职场

数据结构与算法之数组链表

shirley

数组 链表

架构师训练营 - 第一周 - 食堂就餐卡系统设计

韩挺

架构师训练营 - 第一周 - 学习总结

韩挺

架构师训练营第一周命题作业

兔狲

SSL发现新漏洞,主要影响OpenSSL和HTTPS服务_DevOps & 平台工程_Jeff Martin_InfoQ精选文章