Openssl再爆“水牢”漏洞,多家银行和互联网公司受影响

来源:互联网
更新时间:2016/12/9 11:10:23
责任编辑:鲁晓倩
字体:

OpenSSL今日发现一严重漏洞——水牢漏洞(DROWN漏洞),可能影响部分使用HTTPS的服务及网站。利用该漏洞,攻击者可以监听加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。

经国外相关机构初步探测识别,目前全球有大约400万网站和服务易受此漏洞的影响。

360网络攻防实验室经初步统计,我国有109725个网站可能受到此漏洞的影响。360专门开发了此漏洞的在线检测工具,可利用以下网址进行检测:http://bobao.360.cn/tools/index。

HTTPS是一种Web浏览器与网站服务器之间传递信息的协议,该协议以加密形式发送通信内容,保证用户上网时的信息无法被第三方截获并解密读取。SSLv2是一种古老的协议,官方已经建议禁用SSLv2,Microsoft IIS (Windows Server):iis 7和以上的版本默认已经禁止了sslv2,实践中也有许多客户端已经不支持使用SSLv2。然而由于错误配置,许多网站仍然支持SSLv2。

水牢漏洞可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,读取经加密传输的敏感通信,包括密码、信用卡帐号、商业机密、金融数据等。

360安全专家蔡玉光分析,水牢漏洞利用难度较高,需要攻击者截获经HTTPS加密的通信数据,并破解此数据应送达的服务器的密钥,才可让攻击者对所截获的数据进行解密。破解密钥需要使用一定性能的计算集群,并花费8个小时。租用计算集群的成本约400美金左右(以租用亚马逊集群的费用为准)。但一旦攻击成功,攻击者就可以破解其截获的所有加密数据。

360部分网站也在使用OpenSSL,但是360在重要的系统中禁止了不安全的加密套件,因此不受“水牢”漏洞影响。

蔡玉光建议受到此漏洞影响的用户应确认其私钥不适用于其他的支持sslv2服务,包括web、smtp、imap、pop服务等,并禁止服务器端的sslv2支持。另外可以对OpenSSL进行更新

www.xue163.com true /5/59635.html report 1015 Openssl再爆“水牢”漏洞,多家银行和互联网公司受影响,OpenSSL今日发现一严重漏洞——水牢漏洞(DROWN漏洞),可能影响部分使用HTTPS的服务及网站。利用该漏洞,攻击者可以监听加密流量,读取诸如密码、信用卡账号、商业机密和金融数据等加密信息。经国外相关机构初步探测识别,目...
最近关注
首页推荐
热门图片
相关文章:
最新添加资讯
24小时热门资讯
精彩资讯
精彩推荐
热点推荐
真视界
精彩图片
社区精粹
关于本站 | 广告服务 | 手机版 | 商务合作 | 免责申明 | 招聘信息 | 联系我们
Copyright © 2004-2016 Xue163.com All Rights Reserved. 中国学网 版权所有
京ICP备10044368号-1 京公网安备11010802011102号
荐闻 | 学网头条知识问答 | 装修 | 作业 | 荐闻 | 学网头条精彩微信 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 猎奇 | 精彩看点 | 图库 | 新闻中心 | 软件教室 | 设计大全 | 网络相关 | 英语学习 | 开发编程 | 考试中心 | 参考范文 | 管理文库 | 营销中心 | 站长之家 | IT信息中心 | 商学院 | 数码大全 | 硬件DIY | 企业服务 | 网吧在线 | 问吧 | 百科 | 硬件知识 | 本网视点 | 文库 | 手机 | 平板 | 汽车 | 游戏 | 家电 | 精彩摄影 | 时尚科技 | 现代家居 | IT女人 | 经验 | 每日新闻 | 健康养生 | 图书馆 | 精彩微信 | 猎奇 | 精彩看点 | 图库编程 方案 信息windows方案windows answer文档机构教育文档问答中心IT编程数码信息解决方案信息中心IT科技