全球云服务器

心脏出血的兄弟“溺水”威胁1100万服务器

发布时间：2023-05-01 12:30:38 作者：次过的风 阅读量：8118

一个类似于心脏出血的OpenSSL漏洞(CVE-2016-0800)周二曝光，该漏洞影响超过1100万台使用古老安全协议SSLv2的网站和邮件服务器。

　　一个类似于心脏出血的OpenSSL漏洞(CVE-2016-0800)周二曝光，该漏洞影响超过1100万台使用古老安全协议SSLv2的网站和邮件服务器。

　　利用该漏洞的攻击被称为“溺水”攻击(DROWN, Decrypting RSA with Obsolete and Weakened eNcryption)，可通过给服务器发送精心构造的恶意数据包来解密HTTPS通信，获得诸如口令或信用卡信息等敏感数据。

7834b5488717802f89ca56faeb17f82f.png (203.02 KB, 下载次数: 14)

下载附件

昨天 23:28 上传

　　溺水可实现跨协议攻击

　　据360安全专家蔡玉光分析，该漏洞利用难度较高，需要攻击者截获经HTTPS加密的通信数据，并破解此数据应送达的服务器的密钥，才可让攻击者对所截获的数据进行解密。破解密钥需要使用一定性能的计算集群，并花费8个小时。租用计算集群的成本约400美金左右(以租用亚马逊集群的费用为准)。因此，攻击成本不低，意味着实际影响会小。但一旦攻击成功，攻击者就可以破解其截获的所有加密数据。

　　蔡玉光建议受到此漏洞影响的用户应确认其私钥不适用于其他的支持sslv2服务，包括web、smtp、imap、pop服务等，并禁止服务器端的sslv2支持。另外可以对OpenSSL进行更新。

5eb63f9c6def1f44c3a241e98d74c0db.png (165.69 KB, 下载次数: 8)

下载附件

昨天 23:28 上传

　　以下版本的服务及协议受影响：

　　Apache — 非2.4.x版本

　　Nginx — 0.7.64/0.8.18及更早版本

　　Postfix — 早于2.9.14/2.10.8/2.11.6/3.0.2的版本

　　OpenSSL — 1.0.2a/1.0.1m/1.0.0r/0.9.8zf及更早版本

　　各版本检测方式及详细修复步骤 ——

　　http://www.aqniu.com/threat-alert/14036.html

　　漏洞详情 ——

　　https://www.openssl.org/news/secadv/20160301.txt

　　

***本网站图片，文字之类版权申明，因为网站可以由注册用户自行上传图片或文字，本网站无法鉴别所上传图片或文字的知识版权，如果侵犯，请及时通知我们，本网站将在第一时间及时删除。

我要评论

网友评论

---

---

---

常见ftp命令 FTP命令使用详解双硬盘组建Raid0磁盘阵列图文教程用友软件客户端连接不上服务器的解决办法？WebService实例开发、运维不可不看的Linux调测工具如何使用Charles抓取Websocket的消息DNS服务的启动和停止如何用ODBC访问SQL数据库Linux视频教程：用户管理命令useraddWindows Server 2003中如何启动ASP.NET扩展服务IIS中站点主属性配置如何搭建平台【超赞】专为小白整理的adobe xd入门教程小旋风asp服务器怎么使用将基于域名的虚拟主机转换为基于IP的虚拟主机设置DHCP数据库路径快云存储技术服务器集群技术的分类什么是双线托管，比较便宜的双线托管有哪些重庆电信服务器托管注意事项IBM欲出售低端服务器业务是为何意Linux-PAM的工作流程基于域名的虚拟主机配置的两种方法分布式与集群是一回事儿么？大神教你5招加速Python英特尔称服务器业务目前已基本恢复英特尔三季度全球微处理器市场份额达83.7%【划重点】我对TopCoder的一些看法服务器技术之Pcrl语言文件的读写IDC：中国HPC发展迅猛曙光HPC销售额进全球前十强