影响1100万网站的漏洞出没作妖,工程师急cry,怎么办?

本是阳春三月好时光,OpenSSL却在此时爆出了高危漏洞drown,一时间让运维小哥们头顶阴云笼罩。这个在安全圈掀起惊涛骇浪的drown漏洞到底是何方妖孽?!运维同学们该如何将它消灭?且听云小哥为您解答。

drown漏洞是什么?

在北京时间2016年3月2日,OpenSSL 官方发布安全公告,公布了一利用SSLv2协议弱点来对TLS进行跨协议攻击的安全漏洞CVE-2016-0800,即drown漏洞,影响使用了SSLv2协议的用户。发现这一漏洞的相关研究人员表示,受影响的HTTPS服务器数量大约为1150万左右

攻击者可利用这个漏洞来对服务器的TLS会话信息进行破解,获取用户与服务器间的任意通信流量。内容包括但不限于用户名,密码,邮箱以及图片文档等隐私信息。其攻击示意如下▼

虽然SSLv2是一种比较古老的协议,但据统计互联网上仍然有17% 的https 服务允许使用SSLv2 协议连接。

如何判断是否受drown漏洞影响? 

该如何判断自己的网站是否收到了drown漏洞的影响,您可以通过以下网站快速进行检测,https://test.drownattack.com/?site=你的站点,例如我们输入某知名搜索引擎域名进行测试,右方出现的被标识为vulnerable的IP就是该域名下受drown漏洞影响的服务器IP了。

输入自家网站测试之后,看见自己服务器被标识为vulnerable,运维小哥的内心是否虎躯一震,内心千万头神兽呼啸而过。不要担心,让云小哥为您支招。

如何修复drown漏洞?

如何修复drown漏洞,云小哥有两个大招推荐▼

1 主动禁用所有服务器中的SSLv2协议 要将所有用到SSL的服务器禁用SSLv2

如果无法禁用SSLv2,则需要进行OpenSSL 版本升级,将OpenSSL 1.0.2 升级至OpenSSL 1.0.2g,OpenSSL 1.0.1升级至OpenSSL 1.0.1s。其他版本升级到1.0.1和1.0.2的无影响版本

但这一招是要禁用所有服务器或者升级OpenSSL组件,看着那密密麻麻的IP列表,特别是难以一次全量梳理的网站域名/IP和各业务间依赖关系,运维小哥的内心想必是再度崩溃的,莫要捉急,云小哥还有第二个大招推荐。

2 网站类业务接入腾讯云大禹分布式防御系统

在各类企业应用中,Web服务器往往占用主要SSL使用比例,并且往往由于域名多、业务间依赖复杂、历史遗留问题等难以一次全量梳理并快速升级。如果任一个地方遗漏则可能成为安全短板,事倍功半。

大禹具备接入简单、平滑的特点

并大禹已在所有节点上禁用SSLv2,大禹节点配置不受漏洞影响。客户只需要将其域名流量接入大禹,其业务即可平稳、快速的“升级”到安全的TLS/SSL版本。

此时由于客户端到大禹节点间的流量全部使用安全的HTTPS协议版本进行加密,攻击者无法使用drown漏洞实施攻击,进而帮助客户快速屏蔽该漏洞的影响,为客户争取升级的时间,大禹分布式防御系统对drown漏洞的防御示意如下▼

非web类的其他应用,如FTP和MAIL系统,客户可使用禁用SSLv2的方法进行修复。

如何接入大禹分布式防御系统?

简单说,两步走

————————

第一步:在腾讯云填入需要防护的网站域名;

第二步:在您的DNS服务商处,将网站域名解析方式由A记录改为CNAME记录,CNAME域名为腾讯云提供的安全防护域名;

哦了,所有web服务器不再受到drown漏洞的威胁,同时还可以享受大禹分布式防御系统提供的超大带宽DDoS防护、CC攻击防护。安全,妥妥的。

云小哥特别要说的是,不管您的网站是否部署在腾讯云上,都可以享受大禹分布式防护的服务。这简直是喜大普奔的好消息!

原文发布于微信公众号 - 腾讯云安全(TencentCloudSecurity)

原文发表时间:2016-03-04

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

躲不掉的红色炸弹,这次真的「爆」了

声明:本文由【MS509 Team】成员expsky原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。 收到朋友的婚宴请帖后通常都要破费,而且不便躲避,所...

1847
来自专栏FreeBuf

看我如何发现Facebook的ImageMagick漏洞并获4万美元赏金

相信大多数人都对ImageMagick RCE漏洞有所知晓,该漏洞于去年4月底被发现,由于其软件本身被很多知名网站使用,且存在很多流行拓展插件,漏洞最终造成了很...

2068
来自专栏小白安全

USB自动渗透手法总结

USB(Universal Serial Bus)原意是指通用串行总线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,这套标准在1994年底由英特尔、...

3545
来自专栏FreeBuf

OpenSSL心脏出血漏洞全回顾

近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的...

2155
来自专栏FreeBuf

看看印尼黑客如何利用电影大片进行网络攻击

网络犯罪分子每天都在想尽各种办法来进行攻击,这对于信息安全从业者来说再正常不过了,而这一次印尼网络犯罪组织开始利用电影大片来欺骗目标用户访问已受感染的网站。

930
来自专栏FreeBuf

iOS最新更新修复了多个安全问题,包括KRACK漏洞

苹果最近发布了iOS 11.1和macOS High Sierra 10.13.1版本,修复了一些问题,更新了70多个新的表情,并且对多个安全问题进行了修复。除...

2509
来自专栏黑白安全

10大白帽黑客专用的 Linux 操作系统

今天让我们来介绍十个黑客专用的操作系统,它们被白帽黑客用作渗透测试的工具。这里我把 Kali Linux 列为首位,是因为它在渗透测试中非常流行,它的开发团队 ...

743
来自专栏FreeBuf

揭秘:安卓木马是如何盗取用户手机银行的

手机银行是一种非常便捷的方式让用户可以随时随地的完成交易。KPMG预测手机银行用户在2019年会增长到1.8亿。但是,随着手机银行涉及的金钱数额越来越大,攻击者...

2119
来自专栏FreeBuf

挖洞经验 | 看我如何通过子域名接管绕过Uber单点登录认证机制

Uber使用Amazon CloudFront CDN架构的网站saostatic.uber.com存在子域名安全漏洞,可被攻击者接管。另外,Uber近期部署在...

4155
来自专栏FreeBuf

揭秘银行木马Chthonic:网银大盗ZeuS的最新变种

说到Zeus/Zbot,做安全多多少少都会有所了解。Zeus是对金融系统威胁最大的僵尸网络之一,控制者借助僵尸程序窃取账户登录信息和信用卡号码。Zbot往往通过...

1607

扫码关注云+社区