OpenSSL 的 drown 漏洞及測試網站

[阿 土]

這個 drown 漏洞是實驗室安全人員發現，所以可更新 OpenSSL 的話就趕快更新，以免後續有其他問題

drown 攻擊威脅仍支援 SSLv2 的伺服器以及客戶端，他允許攻擊者通過發送 probe 到支援SSLv2的使用相同密鑰的伺服器和客戶端以解密TLS通信。

如果網站的證書或私鑰有用於其他支援 SSLv2 的伺服器上的話，會同樣存在風險。

安全研究人員指出：常見的例子包括 SMTP，IMAP 和 POP 郵件伺服器，並用於特定的Web應用程式的二次 HTTPS 伺服器。

drown 攻擊可允許攻擊者透過發送特製的惡意封包到伺服器，或者證書有再另一個伺服器上共享，有機會可進行中間人（MITM）攻擊來解密HTTPS連接。

為了保護 Server 不受 drown 攻擊，應禁用 SSLv2，以及確保私鑰不會在其它伺服器共享。

======================

OpenSSL 3/1 有更新版本
OpenSSL 1.0.2 建議升級到 OpenSSL的1.0.2g
OpenSSL 1.0.1 建議升級到 OpenSSL的1.0.1s

======================

測試 Server 是否有 drown 漏洞
https://test.drownattack.com/

如附圖 , 代表該伺服器有這個漏洞 , 應更新 OpenSSL 版本

[algolee]

感謝站大提供的訊息

[ericlien]

FlashFXP也更新至5.2.0.3918

語法:

FlashFXP v5.2.0.3918 @ 03/01/2016
• Updated OpenSSL to 1.0.2g
 OpenSSL Security Advisory [1st March 2016]
https://www.openssl.org/news/secadv/20160301.txt 
• Updated SecureBlackBox library 
• Minor bug fixes and improvements

[wangcm]

鵝用SSL Labs測鵝自己的test site沒被測出有問題,可是沒測出同一台機器上dovecot/postfix的SSL/TLS的弱點(CA/key是共用的),而user site好幾台server也是共用CA/key的,SSL Labs就會標示因為其他server的問題所以有drown弱點,這實在讓鵝很困惑啊....