OpenSSL曝新漏洞：超過1100萬HTTPS服務器受影響，雅虎等大型網站或中招

近日安全研究人員發現OpenSSL一個新的安全漏洞DROWN，這一漏洞可能使目前至少三分之一的HTTPS服務器癱瘓，受影響的HTTPS服務器數量大約為1150萬左右。

據OpenSSL安全公告，DROWN是一種跨協議攻擊，如果服務器使用了SSLv2協議和EXPORT加密套件，那么攻擊者就可利用這項技術來對服務器的TLS會話信息進行破解。

此外需要注意的是，客戶端與不存在漏洞的服務器進行通信時，攻擊者可以利用其他使用了SSLv2協議和EXPORT加密套件（即使服務器使用了不同的協議，例如SMTP，IMAP或者POP等協議）的服務器RSA密鑰來對上述兩者的通信數據進行破解。

據國外媒體報道，在Alexa網站排名中排名靠前的網站都將有可能受到DROWN的影響，受影響的網站包括雅虎、新浪、阿里巴巴等在內的大型網站。

根據公告，安全研究人員NimrodAviram和SebastianSchinzel于2015年12月29日將這一問題報告給了OpenSSL團隊。隨后，OpenSSL團隊的ViktorDukhovni和MattCaswell共同開發出了針對此漏洞的修復補丁。

而隨著OpenSSL發布官方補丁，這一漏洞的詳細信息被公開，或將有攻擊者會利用這一漏洞來對服務器進行攻擊。

目前OpenSSL已針對該漏洞進行更新，OpenSSL默認禁用了SSLv2協議，并且移除了SSLv2協議的EXPORT系列加密算法。OpenSSL方面強烈建議用戶停止使用SSLv2協議。

OpenSSL是一個強大的安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議，并提供豐富的應用程序供測試或其它目的使用。而由于OpenSSL的普及，導致其成為了DROWN攻擊的主要攻擊目標，但是它并也不是DROWN攻擊的唯一目標。

2014年4月8日，OpenSSL的大漏洞曝光。這個漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟流血”——代表著最致命的內傷。利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到約30%https開頭網址的用戶登錄賬號密碼，包括大批網銀、購物網站、電子郵件等。