這個 drown 漏洞是實驗室安全人員發現,所以可更新 OpenSSL 的話就趕快更新,以免後續有其他問題
drown 攻擊威脅仍支援 SSLv2 的伺服器以及客戶端,他允許攻擊者通過發送 probe 到支援SSLv2的使用相同密鑰的伺服器和客戶端以解密TLS通信。
如果網站的證書或私鑰有用於其他支援 SSLv2 的伺服器上的話,會同樣存在風險。
安全研究人員指出:常見的例子包括 SMTP,IMAP 和 POP 郵件伺服器,並用於特定的Web應用程式的二次 HTTPS 伺服器。
drown 攻擊可允許攻擊者透過發送特製的惡意封包到伺服器,或者證書有再另一個伺服器上共享,有機會可進行中間人(MITM)攻擊來解密HTTPS連接。
為了保護 Server 不受 drown 攻擊,應禁用 SSLv2,以及確保私鑰不會在其它伺服器共享。
======================
OpenSSL 3/1 有更新版本
OpenSSL 1.0.2 建議升級到 OpenSSL的1.0.2g
OpenSSL 1.0.1 建議升級到 OpenSSL的1.0.1s
======================
測試 Server 是否有 drown 漏洞
https://test.drownattack.com/
如附圖 , 代表該伺服器有這個漏洞 , 應更新 OpenSSL 版本
書籤