注册 登录
发贴工具
查看: 3622|回复: 18
打印 上一主题 下一主题

[『博客发帖工具整理IT界最新新闻』] OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪 HTTPS网站也并非是十分十美的东东

[复制链接]

2191

主题

2235

帖子

1万

积分

积分
13304
跳转到指定楼层
楼主
OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪


3月2日消息,近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN,这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪,受影响的HTTPS服务器数量大约为1150万左右。

据OpenSSL安全公告,DROWN是一种跨协议攻击,如果服务器使用了SSLv2协议和EXPORT加密套件,那么攻击者就可利用这项技术来对服务器的TLS会话信息进行破解。

OpenSSL曝新漏洞三分之一的HTTPS服务器瘫痪  HTTPS网站也并非是十分十美的东东 群发软件发帖工具

此外需要注意的是,客户端与不存在漏洞的服务器进行通信时,攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件(即使服务器使用了不同的协议,例如SMTP,IMAP或者POP等协议)的服务器RSA密钥来对上述两者的通信数据进行破解。

据国外媒体报道,在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响,受影响的网站包括雅虎、新浪、阿里巴巴等在内的大型网站。

根据公告,安全研究人员Nimrod Aviram和Sebastian Schinzel于2015年12月29日将这一问题报告给了OpenSSL团队。随后,OpenSSL团队的Viktor Dukhovni和Matt Caswell共同开发出了针对此漏洞的修复补丁。

而随着OpenSSL发布官方补丁,这一漏洞的详细信息被公开,或将有攻击者会利用这一漏洞来对服务器进行攻击。

目前OpenSSL已针对该漏洞进行更新,OpenSSL默认禁用了SSLv2协议,并且移除了SSLv2协议的EXPORT系列加密算法。OpenSSL方面强烈建议用户停止使用SSLv2协议。

OpenSSL是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。而由于OpenSSL的普及,导致其成为了DROWN攻击的主要攻击目标,但是它并也不是DROWN攻击的唯一目标。

2014年4月8日,OpenSSL的大漏洞曝光。这个漏洞被曝光的黑客命名为“heartbleed”,意思是“心脏流血”——代表着最致命的内伤。利用该漏洞,黑客坐在自己家里电脑前,就可以实时获取到约30%https开头网址的用户登录账号密码,包括大批网银、购物网站、电子邮件等。



HTTPS网站也并非是十分十美的东东

据悉,外国研究人员发现OpenSSL出现新的安全漏洞“DROWN”,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。

  什么是Drown漏洞

  “DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。

  “DROWN攻击”主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。“DROWN”使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。

  用户可以通过DROWN攻击漏洞测试,测试自己的网站是否遭遇安全威胁,建议将各类站点都进行全面体检。

  沃通安全建议

  首先,沃通CA建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。虽然通配符型SSL证书支持所有子域名都使用同一张证书,能节省证书部署成本,但是为了规避诸如“DROWN”攻击之类的安全威胁,沃通CA建议在服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。欢迎登录沃通数字证书商店,为您的所有重要应用服务器申请独立的SSL证书。

  其次,关闭所有服务器的SSLv2协议,参考如何禁用SSL2.0协议。




unto陌陌上线互赞才能聊天新功能试验 新软件陌陌表情大卖萌next云存储服务提供商Dropbox用户数量狂加5亿 Dropbox关闭邮箱及照片服务 投资人调低估值
回复

使用道具 举报

发贴工具

0

主题

566

帖子

5

积分

积分
5
沙发
wbd902 发表于 2016-4-2 11:10:52 | 只看该作者
任了,就像巴黎欧莱雅,你值得拥有

回复 支持 反对

使用道具 举报

0

主题

480

帖子

4

积分

积分
4
板凳
xoxo110 发表于 2016-4-13 21:05:56 | 只看该作者
说。。。

回复 支持 反对

使用道具 举报

0

主题

585

帖子

7

积分

积分
7
地板
qiaozong01 发表于 2016-4-15 15:02:47 | 只看该作者
沟通问题已经解决,客服晨曦服务态度比较好。就是线上沟通,有些困难。希望可以尽快完善。合作愉快

回复 支持 反对

使用道具 举报

0

主题

612

帖子

79

积分

积分
79
5#
zdxhz 发表于 2016-4-20 08:13:23 | 只看该作者
富,操作简单方便,很实用,服务态度很好。满意。

回复 支持 反对

使用道具 举报

0

主题

518

帖子

2

积分

积分
2
6#
我爱苏苏 发表于 2016-5-27 13:11:37 | 只看该作者
酷很霸气哦!服务真的真的很好哟~~赞一个,还会推荐其他商家来的哦~~棒

回复 支持 反对

使用道具 举报

0

主题

566

帖子

5

积分

积分
5
7#
wbd902 发表于 2016-6-15 11:07:44 | 只看该作者
,,价格又便宜。。

回复 支持 反对

使用道具 举报

0

主题

612

帖子

3

积分

积分
3
8#
loverun 发表于 2016-6-17 09:07:59 | 只看该作者
有机会继续合作!

回复 支持 反对

使用道具 举报

0

主题

547

帖子

7

积分

积分
7
9#
261741908 发表于 2016-6-27 08:55:21 | 只看该作者
有机会继续合作!

回复 支持 反对

使用道具 举报

0

主题

527

帖子

21

积分

积分
21
10#
meng00123 发表于 2016-7-2 08:15:51 | 只看该作者
是仿站仿出来的效果很好出乎大家的预料中间按照我们的要求又改了一些地方增加了技术人员不少工作量077号笨蛋棒棒哒很耐心技术过硬

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

相关导读了
    采集亚马逊正版群发工具有没有?
    Apr.20旅行X心语今天来说说YYPOST新功能的一个灵活用法,采集亚马逊商品信息,并且获得排名的软件,亚马逊现在越来越多客户做,淘宝的水是越来越清了,以前做电商的客户,现在都转战到外国,最赚钱的要数一些客户往亚马逊里堆了吧,拿我这个YYPOST的客户,最多的是采集,分析排名,刷价格,刷数量,改价,刷访问量等等技术

    企业发展B2B网站有什么东东软件可以发呢
    标题企业发展网B2B软件,现在虽然B2B网站收录不错,可愁的是心急的人们,他们太想一口吃撑胖子了,发帖宣传虽然不能像佛系那样淡定,但也不能像跑火车那般急躁对待,自己内容不收录,完全是自己操作内容问题,可以参考一下别人的内容是怎么弄的,然后自己要试着转变,而且收录这个内容,常常会变化的,不是一种规则就吃到老

    搜房天下房聊软件哪一个好呢
    本帖最后由 发帖软件 于 2019-5-22 16:15 编辑 2搜房天下群发房聊信息软件,开始本来打算做58同城的,但发一个就要一次点触验证码,这就让人没有感觉到存在的价值了吧,都是卖二手房和新房的搜房天下倒是可以发即时聊天信息,也没有发现他这个网站有啥子限制,登陆一个搜房天下账号,然后采集回来分类列表的网址,然后就一

    大家坛有没有好用的群发工具下载呢
    当你的笑容给我礼貌的招呼,大家坛全自动发帖软件,宣传推广是一场持久战,总是有一些人把软件用了一天,或是几个小时,就觉得自己付出太多了,那加进来的粉丝,或是流量,应该是和宣传多少成正比的,其实没有这么便宜的事,就像很多阅读量超过一百万的视频,或是电影,真正会在屏幕打赏的人不会超过三千,真正大额打赏给主

    群发正版软件中国塑料网
    中国塑料网群发软件YYPOST脚本下载地址,这个网站会有一个很奇怪的问题就是你在首页登陆无半个验证码,但在登陆网址登陆就会有一个验证码,所以我们灵活一些,在首页登陆就不用输入验证码了哈。网站秒收录比较高,但发的都是五金和建筑行业,先前有很多人都是发土建工程的大公司操作的,现在这个网站专为那个行业诞生的吧。

    OpenStreetMap网站正版2019年发帖工具下载
    本帖最后由 发帖软件 于 2019-5-21 11:13 编辑 OpenStreetMap网站全自动群发,OpenStreetMapOpenStreetMap(简称OSM,中文是公开地图)是一个网上地图协作计划,目标是创造一个内容自由且能让所有人编辑的世界地图。有的人编辑地图然后等收录,有的人发日志等收录,我们这里也是利用地图日志做为宣传的目标,简单的脚本理

    搜房天下全自动收短信全自动识别验证码注册账号软件
    房天下自动注册机,这个脚本是前几天发房聊的脚本廷伸品种,这个脚本能做到自动注册账号,自动保存账号,自动发房聊的效果,不过今天我们主要说一说怎么注册账号写脚本吧,这个搜房天天下的账号,可以发提问,可以发房聊,发论坛,发博客,还有发个人中心页都是有秒收的效果的,这样就省去了去买号,去乱花钱的效果了吧,而

    企业邮箱安卓端有什么APP软件可以发的呢
    请输入标题企业邮箱安卓发发送邮箱脚本,这个脚本是利用企业邮箱进行群发的,全程是一种模拟手工操作的过程,所以封号是很少的,而且企业邮箱群发到普通QQ邮箱不容易进垃圾箱中的,所以这个脚本也是这样的原理,不过最好是利用一些多开器,登陆多点的QQ邮箱账号会比较流畅一些,然后用软件一个一个的切换APP进行群发邮件会

    头条留评论软件有没有好用的呢?
    今天整一个今日头条留言软件,对于留言YYPOST是优势是比较大的存在,因为他往往专注一些下拉定位的优点,像今日头条这样,还是需要一些特殊下拉定位的,因为他新闻有长有短,有图有视频的,所以综合起来定位是比较难的,如果用POST也不是很轻松可以破解他的加密参数。这个脚本也是有一个不好的地方就是换号会比较麻烦,您电

    单网页生成神器
    最近新技术,网页生成机占领了整个网络的半壁江山,效果很疯狂,虽然不知道能持续多久,作为开发软件的领头者,一直在找收录的方法,一直在努力创新着,一直被人模仿,却从没有被超越过,这个网页生成机,已经出来有一段时间了,一直没有拿出来分享,醉过醉过,它是利用的一些小小收录漏洞整的,您最好用一些老站域名,进行

关闭
快速回复 返回列表 返回顶部