影响1100万网站的漏洞出没作妖,工程师急cry,怎么办?

本是阳春三月好时光,OpenSSL却在此时爆出了高危漏洞drown,一时间让运维小哥们头顶阴云笼罩。这个在安全圈掀起惊涛骇浪的drown漏洞到底是何方妖孽?!运维同学们该如何将它消灭?且听云小哥为您解答。

drown漏洞是什么?

在北京时间2016年3月2日,OpenSSL 官方发布安全公告,公布了一利用SSLv2协议弱点来对TLS进行跨协议攻击的安全漏洞CVE-2016-0800,即drown漏洞,影响使用了SSLv2协议的用户。发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右

攻击者可利用这个漏洞来对服务器的TLS会话信息进行破解,获取用户与服务器间的任意通信流量。内容包括但不限于用户名,密码,邮箱以及图片文档等隐私信息。其攻击示意如下▼

虽然SSLv2是一种比较古老的协议,但据统计互联网上仍然有17% 的https 服务允许使用SSLv2 协议连接。

如何判断是否受drown漏洞影响? 

该如何判断自己的网站是否收到了drown漏洞的影响,您可以通过以下网站快速进行检测,https://test.drownattack.com/?site=你的站点,例如我们输入某知名搜索引擎域名进行测试,右方出现的被标识为vulnerable的IP就是该域名下受drown漏洞影响的服务器IP了。

输入自家网站测试之后,看见自己服务器被标识为vulnerable,运维小哥的内心是否虎躯一震,内心千万头神兽呼啸而过。不要担心,让云小哥为您支招。

如何修复drown漏洞?

如何修复drown漏洞,云小哥有两个大招推荐▼

1 主动禁用所有服务器中的SSLv2协议 要将所有用到SSL的服务器禁用SSLv2

如果无法禁用SSLv2,则需要进行OpenSSL 版本升级,将OpenSSL 1.0.2 升级至OpenSSL 1.0.2g,OpenSSL 1.0.1升级至OpenSSL 1.0.1s。其他版本升级到1.0.1和1.0.2的无影响版本

但这一招是要禁用所有服务器或者升级OpenSSL组件,看着那密密麻麻的IP列表,特别是难以一次全量梳理的网站域名/IP和各业务间依赖关系,运维小哥的内心想必是再度崩溃的,莫要捉急,云小哥还有第二个大招推荐。

2 网站类业务接入腾讯云大禹分布式防御系统

在各类企业应用中,Web服务器往往占用主要SSL使用比例,并且往往由于域名多、业务间依赖复杂、历史遗留问题等难以一次全量梳理并快速升级。如果任一个地方遗漏则可能成为安全短板,事倍功半。

大禹具备接入简单、平滑的特点

并大禹已在所有节点上禁用SSLv2,大禹节点配置不受漏洞影响。客户只需要将其域名流量接入大禹,其业务即可平稳、快速的“升级”到安全的TLS/SSL版本。

此时由于客户端到大禹节点间的流量全部使用安全的HTTPS协议版本进行加密,攻击者无法使用drown漏洞实施攻击,进而帮助客户快速屏蔽该漏洞的影响,为客户争取升级的时间,大禹分布式防御系统对drown漏洞的防御示意如下▼

非web类的其他应用,如FTP和MAIL系统,客户可使用禁用SSLv2的方法进行修复。

如何接入大禹分布式防御系统?

简单说,两步走

————————

第一步:在腾讯云填入需要防护的网站域名;

第二步:在您的DNS服务商处,将网站域名解析方式由A记录改为CNAME记录,CNAME域名为腾讯云提供的安全防护域名;

哦了,所有web服务器不再受到drown漏洞的威胁,同时还可以享受大禹分布式防御系统提供的超大带宽DDoS防护、CC攻击防护。安全,妥妥的。

云小哥特别要说的是,不管您的网站是否部署在腾讯云上,都可以享受大禹分布式防护的服务。这简直是喜大普奔的好消息!

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

新漏洞允许黑客访问处于睡眠模式的电脑

互联网安全公司F-Secure发现了一个新漏洞,几乎影响到每台电脑。新发现的漏洞可能允许黑客在电脑进入睡眠状态时访问加密的硬盘。F-Secure在博客文章中分享...

1063
来自专栏Hongten

未曾谋面却完成了短信发送功能_API是个好中介

申请到了账号了以后,如果你只希望网页版的短信发送,可以在http://ms.139130.net/进行登录,然后就可以进行短信发送了。

1113
来自专栏FreeBuf

我是如何黑掉英国间谍软件公司Gamma的

前几天,有黑客《入侵了英国间谍软件公司Gamma》。本文翻译自黑客自己公布的入侵指南。详细的介绍了从信息收集,到发现目标站点,以及进行源码审计,绕过waf注入,...

42710
来自专栏企鹅号快讯

黑客术语基础知识快速了解

1.肉鸡:所谓“肉鸡”是一种很形象的比方,比方那些能够随意被我们操控的电脑,对方可所以Windows体系,也可所以UNIX/Linux体系,可所以一般的个人电脑...

35710
来自专栏FreeBuf

OpenSSL心脏出血漏洞全回顾

近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的...

2505
来自专栏Seebug漏洞平台

Ztorg:从 root 到 SMS

自从2016年9月以来,我一直在监控 Google Play 商店的新 Ztorg 木马,到目前为止,还发现了几十个新的恶意应用程序。所有这些都是恶意 root...

2878
来自专栏黑白安全

大量 Mega 帐户的登录信息遭泄露并暴露了用户文件

据外媒 ZDNet 报道,Mega —— 这家于新西兰成立并提供在线云存储和文件托管服务的公司,目前被发现其平台中有成千上万的帐号凭证信息已在网上被公开发布。

941
来自专栏黑白安全

总结常见的10种破解密码方法

为了防止键盘记录工具,产生了使用鼠标和图片录入密码的方式,这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置,通过记录鼠标位置对比截屏的图片,从而...

1342
来自专栏FreeBuf

中国BAT巨头Web浏览器隐私和安全问题

1. 概述 在奥斯丁举行的互联网自由和开放通信研讨会 FOCI 16会议上,加拿大多伦多大学公民实验室的研究人员总结了中国三大巨头的浏览器——阿里巴巴的 UC ...

2828
来自专栏FreeBuf

TR-064漏洞受影响厂商设备及TR-064协议安全性分析

作者:英国Xiphos Research高级安全研究员 Darren Martyn 过去几个星期,嵌入式设备表现出来的安全状况让人担忧,在Mirai的早期代码...

2076

扫码关注云+社区