曾经“心脏出血”的OpenSSL又出事儿了

日，安全研究人员发现了OpenSSL的一个新漏洞，可能导致约1150万台HTTPS服务器瘫痪，超过总数的33%。
 

曾经“心脏出血”的OpenSSL又出事儿了（图片来自Yahoo）

  据悉，DROWN是一种跨协议攻击，如果服务器使用了SSLv2协议和EXPORT加密套件，攻击者就能利用这项技术破解服务器的TLS会话信息。

  2015年12月29日，安全研究人员Nimrod Aviram和Sebastian Schinzel首次将该问题报告给了OpenSSL团队，后者随即推送了安全补丁。

  需要注意的是，客户端与不存在漏洞的服务器进行通信时，攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件（即使服务器使用了不同的协议，例如SMTP，IMAP或者POP等协议）的服务器RSA密钥，对二者的通信数据进行破解。

  目前，OpenSSL已经对这一漏洞进行了修补，OpenSSL默认禁用了SSLv2协议，并移除了SSLv2协议的EXPORT系列加密算法。OpenSSL强烈建议，用户停止使用SSLv2协议。

本文来源；http://bbs.ichunqiu.com/thread-9617-1-1.html?from=csdn-shan