SSLCloud系统帮您检测OpenSSL DROWN漏洞


最近OpenSSL官方发布了新的安全公告,公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞(水牢漏洞)。

 

 

一.DROWN漏洞的影响

 

可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,读取经加密传输的敏感通信,包括密码、信用卡帐号、商业机密、金融数据等。

 

二.但是DROWN漏洞的利用难度较高

 

DROWN漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用:

 

①  漏洞只存在于支持 SSLv2协议的服务端中,而这个是一个古老的协议,官方已经建议禁用;

②依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥;

③利用paddingoracle的攻击方式解密密文,破解密钥需要使用一定性能的计算集群。

 

三.检测方式

 

对于可能受到此漏洞影响的网站,可以利用亚洲诚信的SSLCloud 云监控系统对网站进行检测。这套系统可检测使用HTTPS网站的漏洞:https://www.trustasia.com/solutions/sslcloud.htm 。

 

四.DROWN漏洞处理建议

 

通过DROWN漏洞的攻击原理可以知道:只要服务端支持SSLv2 弱强度加密组件就容易受到影响。

 

SSLv2是一种古老的协议,官方已经建议禁用SSLv2,并且Microsoft (Windows Server):iis 7和以上的版本默认已经禁止了SSLv2实践中也有许多客户端已经不支持使用SSLv2但是由于错误配置,许多网站仍然支持SSLv2

 

建议这些网站及时升级openssl,并禁用所有服务器中的SSLv2版本协议。

 

①  在CentOS、Redhat系统,可以通过如下命令升级:

# yum update openssl

② ubuntu等版本可以通过如下命令升级:

# apt-get upgrade opensll

③通过如下配置禁用apache的SSLv2:

 SSLProtocol all -SSLv2

④通过如下配置限制nginx中只使用TLS协议:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 

当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。