当前位置: 首页 >> 信息安全 >> 正文
OpenSSL-drown 漏洞通报
作者: 发布时间:2016-03-03 23:35:39  来源: 

1 漏洞简要说明
OpenSSL-drown漏洞

日期
2016-3-2

严重性
高危


影响版本
OpenSSL版本1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze等更老的版本
 


2 漏洞成因
使用OpenSSL并支持SSLv2协议的服务器可接受指向长度非零非导出密钥组件的SSLv2连接握手,攻击者可利用这个缺陷解密已经建立的加密会话。


3 漏洞|事件危害
利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。
受影响的HTTPS服务器数量大约为1150万左右。
用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。


4 处置意见
(1). 升级OpenSSL软件包

CentOS、Redhat 可以通过以下命令来升级
#yum clean
#yum update openssl

对应的RPM包:
CentOS5: openssl-0.9.8e-39.el5_11、openssl-devel-0.9.8e-39.el5_11、           openssl-perl-0.9.8e-39.el5_11
CentOS6: openssl-1.0.1e-42.el6_7.4、  openssl-devel-1.0.1e-42.el6_7.4、          openssl-perl-1.0.1e-42.el6_7.4、   openssl-static-1.0.1e-42.el6_7.4
CentOS7: openssl-1.0.1e-51.el7_2.4、openssl-devel-1.0.1e-51.el7_2.4、          openssl-libs-1.0.1e-51.el7_2.4、openssl-perl-1.0.1e-51.el7_2.4、        
openssl-static-1.0.1e-51.el7_2.4

(2). ubuntu 版本可以通过以下命令来升级
#apt-get upgrade openssl

2. 禁用 Apache、Nginx、Postfix 中的SSLv2
在Apache 的 SSL 配置文件中禁用SSLv2
SSLProtocol all -SSLv2
重启apache服务

在 Nginx 的 SSL 配置文件中设置只允许使用 TLS 协议:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
重启nginx服务

在Postfix配置中禁用SSLv2
# Minimal recommended settings.  Whenever the built-in defaults are
# sufficient, let the built-in defaults stand by deleting any explicit

# overrides.  The default mandatory TLS protocols have never included

# SSLv2, check to make sure you have not inadvertently enabled it.

smtpd_tls_protocols = !SSLv2, !SSLv3

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

tlsproxy_tls_protocols = $smtpd_tls_protocols

tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols

smtp_tls_protocols = !SSLv2, !SSLv3

smtp_tls_mandatory_protocols = !SSLv2, !SSLv3

lmtp_tls_protocols = !SSLv2, !SSLv3

lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3

smtpd_tls_ciphers = medium

smtp_tls_ciphers = medium

# Other best practices

# Strongly recommended:

# http://www.postfix.org/FORWARD_SECRECY_README.html#server_fs

smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem

smtpd_tls_eecdh_grade = strong

# Suggested, not strictly needed:

smtpd_tls_exclude_ciphers =

EXPORT, LOW, MD5, SEED, IDEA, RC2

smtp_tls_exclude_ciphers =

EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
5 参考资料
1. https://www.openssl.org/news/secadv/20160301.txt 

2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0703


 

上一条:公安机关网安部门提醒:八种行为易造成个人信息泄漏

关闭

联系方式:大学城(65910140 | 65910170) 老校区(65362042) 投诉 (65914444)

大学地址:重庆市大学城重庆师范大学虎溪校区

重庆师范大学信息技术中心版权所有

COPYRIGHT©1999-2014 CSITC.  ALL RIGHTS RESERVED