吳明宜今天研究人員揭露一項影響使用SSLv2伺服器的OpenSSL新弱點-DROWN,它會破解HTTPS通訊內容,包括密碼或信用卡號碼。
Heartbleed 漏洞的陰影才剛遠離,但另一波重大攻擊又即將迫近。
今天研究人員揭露一項影響使用 SSLv2 伺服器的 OpenSSL 新弱點-DROWN,它會破解 HTTPS 通訊內容,包括密碼或信用卡號碼。
全球超過 33% 的伺服器可能受害,雖然比 Heartbleed 少得多,但仍然高得驚人。而在本文寫作同時,受害網站包括雅虎、阿里巴巴、微博、 BuzzFeed 、 Weather.com 、 Flickr 及三星等。
不過今天公佈的 OpenSSL 更新除了本弱點,還包含已經發佈的修補程式。
這次的 DROWN 漏洞讓攻擊者得以傳送特別撰寫的封包給伺服器,或在憑證被分享到另一台伺服器的情況下破解 HTTPS,而成功執行中間人攻擊 (Man-in-the-Middle) 。
SSLv2 最早出現在 1990 年代,通常在新伺服器設定時不小心或自動啟動,因此也擴大了 DROWN 漏洞影響層面。
DROWN 研究網站指出,駭客可在一分鐘之內攻擊成功,而由於弱點已經揭露,可能也已遭廣泛利用。而 1990 年代美國政府刻意弱化加密法也是釀禍元兇之一。
想免於攻擊,使用者必須確保伺服器關閉 SSLv2,以及私鑰不被分享給其他伺服器。而受害的伺服器不需重新發憑證,但應該立即採取行動防禦攻擊。