OpenSSL新漏洞预警公告：SSL/TLS中间人劫持漏洞"FREAK"

安全专家在OpenSSL中发现一种被称作FREAK（Factoring RSA Export Keys，分解RSA导出密钥）的攻击，漏洞编号为CVE-2015-0204，请广大用户注意。

漏洞信息

该攻击利用NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的"出口级"加密支持。尽管NSA在2000年便已放弃这个策略，但许多SSL/TLS客户端及服务器依然支持此类连接，这种机制直到去年才被发现。当易受攻击的客户端试图连接到仍然允许出口级密码的主机时，会产生安全问题。攻击者能够从服务器获得并预先破解较弱的出口密码，随后将其伪装成合法主机发动中间人攻击。

影响范围

安全专家相信该漏洞可以用来对大型网站发起攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统，以及使用早于1.0.1k版本的OpenSSL的用户。使用电脑可以在7个小时内完成破解较弱加密，而目前四分之一的加密网站被发现可以破解。

安全建议

OpenSSL官方已经在最新的版本中修复了该漏洞，安恒信息建议广大用户尽快将服务端更新到最新版的OpenSSL。

OpenSSL的1.0.1的用户应该升级到1.0.2 OpenSSL的1.0.0的用户应该升级到1.0.0p OpenSSL的0.9.8的用户应该升级到0.9.8zd

同时安恒信息研究院已经进行技术分析，稍后会将检测策略更新至杭州安恒信息技术有限公司生产的明鉴系列安全检测工具和明御系列防御产品的策略库中，用户只需更新产品策略，即可完成该漏洞的扫描检测与防御。安恒信息目前也安排了24小时电话紧急值班（400-694-0110），随时协助有需要的客户解决该漏洞。

同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等，下载地址：http://www.easyaq.com

此外，安恒信息提醒各位管理员在升级补丁修复漏洞的同时千万不要忘记查看服务器是否已经被入侵，是否存在后门文件等，尽量将损失和风险控制在可控范围内。安恒信息目前也安排了24小时电话紧急值班（400-694-0110），随时协助有需要的客户解决该漏洞。