-
-
OpenSSL的CVE-2016-2107漏洞仍旧影响着许多Alexa顶级网站
-
发表于: 2016-6-1 15:01 1233
-
新闻链接:http://bobao.360.cn/news/detail/3117.html
新闻时间:2016-06-01 14:20:49
新闻正文: 据安全公司High-Tech Bridge所说,Alexa排名前10000的网站中有许多仍然存在OpenSSL的CVE-2016-2107漏洞。
CVE-2016-2107漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“ Padding Oracle攻击”解密HTTPS通信。
据专家介绍,自从2013年以来这个漏洞就一直在影响着OpenSSL加密库,当时项目维护人员修复了另一个被称为幸运13的 Padding Oracle攻击。
OpenSSL公布的说明中这样说,“只要网络连接采用的是AES CBC密码和支持AES NI的服务器,那么MITM攻击者就可以使用padding oracle攻击解密通信。在当时对幸运13padding攻击(CVE-2013-0169)进行修复的时候也考虑到了这个问题。填充审核代码会定期重写,以确保每次读取的都是相同字节,并且将其与MAC和填充字节进行比较。但是没有再检查是否有足够的数据来承载MAC和填充字节。”
5月初发布了1.0.2h和1.0.1t版本之后,风波暂时平息了。但是安全公司 High-Tech Bridge进行的一项分析显示,Alexa的排名前10000的网站中还有很多存在着漏洞。
High-Tech Bridge在发表的博客中写道,“不幸的是出于兼容性考虑, TLS 1.2 RFC 要求、 NIST 推荐使用的都是AES CBC密码。该密码也被认为是TLS1.0和TLS1.1的最佳选择。”
专家们对Alexa访问量排名前10000的网站、电子商务和社交平台进行了一次快速、非侵入性的研究,查找可能存在的OpenSSL CVE2016-2107漏洞。
研究人员使用的是一种免费的SSL/TLS服务器测试工具,该测试工具的设计初衷就是为了自动化搜索CVE2016-2107漏洞。
“我们使用这种免费的SSL/TLS服务器测试工具对Alexa名单中的每一家公司都进行了下列自动化检查:”
· 网站HTTPS测试(443端口)
· 邮件服务器SSL、TLS和STARTTLS测试(主机/端口):
mail.company.com 25, 110, 143, 465, 587, 993, 995
imap.company.com 143, 993
pop.company.com 110, 995
pop3.company.com 110, 995
smtp.company.com 25, 465, 587
检查结果令人担忧,许多网站都易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。
“令我们吃惊的是,相当一部分互联网中最受欢迎的资源都是脆弱的。下面是调查结果:”
· 不脆弱的:6258(62.58%)
· 不易感的:1913(19.13%)
· 脆弱且易感的:1829(18.29%)
分析中还写道,“令人十分沮丧的是,这种漏洞很有可能会在实际中被利用来窃取用户数据、凭据、财务和个人信息。”
可以使用SSL/TLS服务器测试工具对自己的服务器进行CVE-2016-2107测试。
新闻时间:2016-06-01 14:20:49
新闻正文: 据安全公司High-Tech Bridge所说,Alexa排名前10000的网站中有许多仍然存在OpenSSL的CVE-2016-2107漏洞。
CVE-2016-2107漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“ Padding Oracle攻击”解密HTTPS通信。
据专家介绍,自从2013年以来这个漏洞就一直在影响着OpenSSL加密库,当时项目维护人员修复了另一个被称为幸运13的 Padding Oracle攻击。
OpenSSL公布的说明中这样说,“只要网络连接采用的是AES CBC密码和支持AES NI的服务器,那么MITM攻击者就可以使用padding oracle攻击解密通信。在当时对幸运13padding攻击(CVE-2013-0169)进行修复的时候也考虑到了这个问题。填充审核代码会定期重写,以确保每次读取的都是相同字节,并且将其与MAC和填充字节进行比较。但是没有再检查是否有足够的数据来承载MAC和填充字节。”
5月初发布了1.0.2h和1.0.1t版本之后,风波暂时平息了。但是安全公司 High-Tech Bridge进行的一项分析显示,Alexa的排名前10000的网站中还有很多存在着漏洞。
High-Tech Bridge在发表的博客中写道,“不幸的是出于兼容性考虑, TLS 1.2 RFC 要求、 NIST 推荐使用的都是AES CBC密码。该密码也被认为是TLS1.0和TLS1.1的最佳选择。”
专家们对Alexa访问量排名前10000的网站、电子商务和社交平台进行了一次快速、非侵入性的研究,查找可能存在的OpenSSL CVE2016-2107漏洞。
研究人员使用的是一种免费的SSL/TLS服务器测试工具,该测试工具的设计初衷就是为了自动化搜索CVE2016-2107漏洞。
“我们使用这种免费的SSL/TLS服务器测试工具对Alexa名单中的每一家公司都进行了下列自动化检查:”
· 网站HTTPS测试(443端口)
· 邮件服务器SSL、TLS和STARTTLS测试(主机/端口):
mail.company.com 25, 110, 143, 465, 587, 993, 995
imap.company.com 143, 993
pop.company.com 110, 995
pop3.company.com 110, 995
smtp.company.com 25, 465, 587
检查结果令人担忧,许多网站都易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。
“令我们吃惊的是,相当一部分互联网中最受欢迎的资源都是脆弱的。下面是调查结果:”
· 不脆弱的:6258(62.58%)
· 不易感的:1913(19.13%)
· 脆弱且易感的:1829(18.29%)
分析中还写道,“令人十分沮丧的是,这种漏洞很有可能会在实际中被利用来窃取用户数据、凭据、财务和个人信息。”
可以使用SSL/TLS服务器测试工具对自己的服务器进行CVE-2016-2107测试。
赞赏
看原图
赞赏
雪币:
留言: