一個新的HTTPS漏洞(已經有了專屬網站、亮眼圖示以及響亮好記的暱稱)已經被發現,被描述為可能跟Heartbleed心淌血漏洞一樣嚴重的漏洞。它被稱為DROWN,跟它在2014年出現的前輩一樣,它會影響今日使用HTTPS的大部分網域(根據其網站的FAQ約33%)。不僅僅是網站,郵件服務器和TLS相關服務也都會受到影響。
DROWN是什麼?
它是會影響HTTPS及其他依賴SSL/TLS服務的漏洞。這些協定主要用加密技術來確保服務所需要的個人資料(如登錄憑證/信用卡號碼),像是網路購物、銀行網站還有即時通。
經由利用DROWN,攻擊者能夠破解這些協定,截獲並竊取被保護的個人資料。也可以用它來攻陷合法網站,好變更功能或插入惡意程式碼。
誰會受到影響?
很顯然地,任何允許TLS和SSLv2連線的伺服器或客戶端都會。網站 drownattack.com提供線上檢查服務來檢視某個網域或IP是否有DROWN漏洞。
DROWN網站聲稱在漏洞披露(3月1日)時,在所有HTTPS伺服器/網站中有33%具有此弱點。它接著說,以此來說,瀏覽器們所信任的網站中有22%具備此漏洞,包含了前一百萬名網域的25%。
如何防護DROWN漏洞?
該網站建議伺服器/網域的所有者確保自己的伺服器停用SSLv2,而且不要將私密金鑰用在任何會允許SSLv2連線的軟體伺服器上。它還對特定軟體提供了指引,如OpenSSL和微軟IIS,以及Apache、Postfix和Nginx。
@原文出處:New Heartbleed-like HTTPS Vulnerability DROWN discovered