OpenSSL又出新漏洞，超過1100萬https站點受影響

據了解，最近有研究人員在OpenSSL中發現了一個新的安全漏洞，這個漏洞將會對SSL（安全套接層）安全協議產生巨大的影響，而且攻擊者還有可能利于這個漏洞來對現代的Web網絡站點進行攻擊。

影響超過1100萬網站

我們將利用這一漏洞來進行攻擊的行為稱為“ DROWN攻擊 ”（ DecryptingRSA with Obsolete and Weakened eNcryption），即“利用過時的脆弱加密算法來對RSA算法進破解”。根據研究人員的預測，這種類型的攻擊將很有可能使目前至少三分之一的HTTPS服務器癱瘓。

發現這一漏洞的相關研究人員表示，受影響的HTTPS服務器數量大約為1150萬左右。

那么，DROWN到底有多么恐怖呢？在Alexa網站排名中排名靠前的網站都將有可能受到DROWN的影響， 攻擊者可以利用DROWN來對目標服務器進行中間人攻擊 ，受影響的網站還包括雅虎、新浪以及阿里巴巴等大型網站在內。

FreeBuf 百科：OpenSSL

OpenSSL 是一個強大的安全套接字層密碼庫，其囊括了目前主流的密碼算法，常用的密鑰，證書封裝管理功能以及SSL協議，并提供了豐富的應用程序可供開發人員測試或其它目的使用。

由于OpenSSL的普及，導致這一開源的安全工具成為了DROWN攻擊的主要攻擊目標，但是它并也不是DROWN攻擊的唯一目標。

微軟的互聯網信息服務（IIS）v7已經過時了，而且這項服務在此之前還曾曝出過漏洞，但是微軟的工作人員已經解決了IIS中的安全問題。但是2012年之前發布的3.13版本網絡安全服務（NSS）（一款內嵌于大量服務器產品中的通用加密代碼庫）仍然存在漏洞，所以運行了上述版本NSS工具的服務器仍然有可能受到黑客的攻擊。

漏洞檢測及安全建議

用戶可以利用這個 DROWN攻擊測試網站 來對自己的網站進行漏洞檢測。

無論在何種情況下，如果你使用了OpenSSL來作為你的安全保護工具，而且目前大多數人也確實是這樣的，那么我們的建議如下：

如果你使用的是其他的程序，那么你早就應該將你所使用的ISS和NSS更新至最新版本了。如果你現在還沒有這樣做，那么也沒有什么好慚愧的，趕緊動手去做就可以了。

當然了，我們也有關于DROWN攻擊的好消息帶給大家－ 幸好這一漏洞是由安全研究人員所發現的 。但壞消息就是，既然這一漏洞的詳細信息已經被公開了，那么不出意外的話，攻擊者很快就會利用這項攻擊技術來對網絡中的服務器進行攻擊。

研究人員的 描述稱 ：

也許你會覺得奇怪，在過去的20年時間里，SSLv2協議的安全性是得到了大家普遍認可的，為什么就連這樣的一種協議都有可能受到這一漏洞的影響？研究人員 認為 ：

研究人員補充說到：

Ivan Ristic是Qualys公司的工程總監，而且他也是Qualys公司SSL實驗室的高管。他 表示 ：

事實就是這樣，即使是‘安全“的服務器也有可能會被入侵，因為這些安全的服務器與存在漏洞的服務器是處于同一網絡系統中的。利用 Bleichenbacher攻擊 ，RSA私鑰也可以被解密。也就是說，我們也可以利用這一技術來對那些使用了這些私鑰的“安全”服務器進行攻擊。

趕緊修復這一漏洞！

除了OpenSSL發布的官方補丁之外，我們還可以從其他的渠道 獲取到漏洞補丁 ——例如Canonical、紅帽以及SUSE Linux等公司，這些公司將會在第一時間向用戶提供更新補丁。

*原文地址： zdnet ，lazynms編譯，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）