曾經“心臟出血”的OpenSSL又出事兒了(圖片來自Yahoo)
據悉,DROWN是一種跨協議攻擊,如果服務器使用了SSLv2協議和EXPORT加密套件,攻擊者就能利用這項技術破解服務器的TLS會話信息。
2015年12月29日,安全研究人員Nimrod Aviram和Sebastian Schinzel首次將該問題報告給了OpenSSL團隊,後者隨即推送了安全補丁。
需要注意的是,客戶端與不存在漏洞的服務器進行通信時,攻擊者可以利用其他使用了SSLv2協議和EXPORT加密套件(即使服務器使用了不同的協議,例如SMTP,IMAP或者POP等協議)的服務器RSA密鑰,對二者的通信數據進行破解。
目前,OpenSSL已經對這一漏洞進行了修補,OpenSSL默認禁用了SSLv2協議,並移除了SSLv2協議的EXPORT系列加密算法。OpenSSL強烈建議,用戶停止使用SSLv2協議。
本文來源;http://bbs.ichunqiu.com/thread-9617-1-1.html?from=csdn-shan