1元虚拟主机

当前位置:  首页 >  产品资讯 >  什么是DROWN漏洞,如何搞定DROWN漏洞?

什么是DROWN漏洞,如何搞定DROWN漏洞?

来源:景安网络

作者:杨鹏亮

更新时间:2016-03-04 15:39

景安网络—专业的多线服务器托管商!提供快云服务器,快云VPS,虚拟主机,域名注册,网站空间,服务器托管,服务器租用,SSL证书。1元试用30天vps活动,活动进行中!查看详情

    近日,OpenSSL被曝出现新的安全漏洞"DROWN",攻击者有可能利用这个漏洞对https站点进行攻击,对用户造成不可估量的损失,那么这个DROWN漏洞到底是什么样的呢?我们该如何搞定它呢?

    drown漏洞

    什么是Drown漏洞?
 
    "DROWN"全称是 Decrypting RSA with Obsolete and Weakened eNcryption,是指"利用过时的脆弱加密算法来对RSA算法进破解",主要针对SSLv2协议漏洞来对TLS进行跨协议攻击。
 
    "DROWN攻击"主要影响支持SSLv2的服务端和客户端。SSLv2是一种古老的协议,许多客户端已经不支持使用,但由于配置上的问题,许多服务器仍然支持SSLv2。

    "DROWN"使得攻击者可以通过发送probe到支持SSLv2的使用相同密钥的服务端和客户端解密TLS通信。例如:将相同的私钥同时用在Web服务端和Email服务端,如果Email服务支持SSLv2,但web服务不支持,那么攻击者仍然能够利用EMAIL服务的SSLv2漏洞获取到web服务器的TLS连接数据。
 
    如何搞定DROWN漏洞?
 
    1、景安建议用户不要用相同的私钥生成多张SSL证书,也不要将同一张SSL证书部署在多台服务器上。建议在每台服务器上均部署独立的SSL证书,这样攻击者将无法利用其它服务器的漏洞,对关键服务器进行攻击,即使其中一台服务器出现问题也不会影响其他服务器的正常运行。
 
   2、关闭所有服务器的SSLv2协议,大家可以参考【教程】IS7.0 禁用SSL 2.0 和 SSL 3.0 协议
 
   3、如果使用了OpenSSL,大家可以参考OpenSSL官方给出的DROWN修复指南
 

本文链接:http://ssl.zzidc.com/chanpinzixun/2016/0304/358.html

关键字:drown漏洞

若无特别注明,文章皆为景安网络原创,转载请注明出处。

域名1元
 
返回顶部

联系我们

SSL产品
24小时客服热线:

4006-598-598

0371-9618961