1 漏洞简要说明
OpenSSL-drown漏洞
日期
2016-3-2
严重性
高危
影响版本
OpenSSL版本1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze等更老的版本
2 漏洞成因
使用OpenSSL并支持SSLv2协议的服务器可接受指向长度非零非导出密钥组件的SSLv2连接握手,攻击者可利用这个缺陷解密已经建立的加密会话。
3 漏洞|事件危害
利用这一漏洞来进行攻击的行为称为“DROWN攻击”( DecryptingRSA with Obsolete and Weakened eNcryption),即“利用过时的脆弱加密算法来对RSA算法进破解”。根据研究人员的预测,这种类型的攻击将很有可能使目前至少三分之一的HTTPS服务器瘫痪。
受影响的HTTPS服务器数量大约为1150万左右。
用户可以利用这个DROWN攻击测试网站来对自己的网站进行漏洞检测。
4 处置意见
(1). 升级OpenSSL软件包
CentOS、Redhat 可以通过以下命令来升级
#yum clean
#yum update openssl
对应的RPM包:
CentOS5: openssl-0.9.8e-39.el5_11、openssl-devel-0.9.8e-39.el5_11、 openssl-perl-0.9.8e-39.el5_11
CentOS6: openssl-1.0.1e-42.el6_7.4、 openssl-devel-1.0.1e-42.el6_7.4、 openssl-perl-1.0.1e-42.el6_7.4、 openssl-static-1.0.1e-42.el6_7.4
CentOS7: openssl-1.0.1e-51.el7_2.4、openssl-devel-1.0.1e-51.el7_2.4、 openssl-libs-1.0.1e-51.el7_2.4、openssl-perl-1.0.1e-51.el7_2.4、
openssl-static-1.0.1e-51.el7_2.4
(2). ubuntu 版本可以通过以下命令来升级
#apt-get upgrade openssl
2. 禁用 Apache、Nginx、Postfix 中的SSLv2
在Apache 的 SSL 配置文件中禁用SSLv2
SSLProtocol all -SSLv2
重启apache服务
在 Nginx 的 SSL 配置文件中设置只允许使用 TLS 协议:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
重启nginx服务
在Postfix配置中禁用SSLv2
# Minimal recommended settings. Whenever the built-in defaults are
# sufficient, let the built-in defaults stand by deleting any explicit
# overrides. The default mandatory TLS protocols have never included
# SSLv2, check to make sure you have not inadvertently enabled it.
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
tlsproxy_tls_protocols = $smtpd_tls_protocols
tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
lmtp_tls_protocols = !SSLv2, !SSLv3
lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = medium
smtp_tls_ciphers = medium
# Other best practices
# Strongly recommended:
# http://www.postfix.org/FORWARD_SECRECY_README.html#server_fs
smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
smtpd_tls_eecdh_grade = strong
# Suggested, not strictly needed:
smtpd_tls_exclude_ciphers =
EXPORT, LOW, MD5, SEED, IDEA, RC2
smtp_tls_exclude_ciphers =
EXPORT, LOW, MD5, aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
5 参考资料
1. https://www.openssl.org/news/secadv/20160301.txt
2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0703