首页
社区
课程
招聘
曾经“心脏出血”的OpenSSL又出事儿了
发表于: 2016-4-11 13:08 1752

曾经“心脏出血”的OpenSSL又出事儿了

2016-4-11 13:08
1752
新闻链接:http://safe.zol.com.cn/571/5710441.html
新闻时间:2016-03-02
新闻正文:近日,安全研究人员发现了OpenSSL的一个新漏洞,可能导致约1150万台HTTPS服务器瘫痪,超过总数的33%。

据悉,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,攻击者就能利用这项技术破解服务器的TLS会话信息。
  2015年12月29日,安全研究人员Nimrod Aviram和Sebastian Schinzel首次将该问题报告给了OpenSSL团队,后者随即推送了安全补丁。
  需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥,对二者的通信数据进行破解。
  目前,OpenSSL已经对这一漏洞进行了修补,OpenSSL默认禁用了SSLv2协议,并移除了SSLv2协议的EXPORT系列加密算法。OpenSSL强烈建议,用户停止使用SSLv2协议。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//