DROWN
使用過時和弱加密來解密 RSA
相關錯誤
"此伺服器難以抵禦 DROWN 攻擊。在伺服器上停用 SSLv2 通訊協定。"
問題
研究人員公佈在 SSL 2 中的 DROWN 漏洞。DROWN 代表 Decrypting RSA with Obsolete and Weakened eNcryption (即利用過時和弱加密來解密 RSA)。其影響依賴 SSL 和 TLS 通訊協定的 HTTPS 和其他服務。
攻擊者可使用 DROWN 漏洞破解用於保護您的敏感資料免於遭到窺探的加密。如果加密遭到破解,攻擊者可以讀取或竊取您的敏感通訊 (例如密碼、財務資料和電郵)。在有些情況中,攻擊者也可以扮演受信任的網站。
雖然 SSL 2.0 通訊協定在 1996 年就因為已知的安全瑕疵退出市場,但有些伺服器仍在使用。普遍知道的漏洞/安全性瑕疵有:
匯出密碼的訊息完整性是脆弱的。
訊息完整性不安全。
難以抵禦 Man-In-The-Middle 攻擊。
難以抵禦 Truncation 攻擊。
解決方案
在仍支援 SSL v2 的伺服器或服務上停用 SSL 2.0。
OpenSSL
對於 OpenSSL,最簡單的解決方案是升級到最新發佈的 OpenSSL 版本。如果您仍在使用其中一種較舊版 (不再支援) 的 OpenSSL,請升級到支援的較新版本。
Microsoft IIS
如果您正使用 IIS 7 或更新版本,預設為停用 SSL v2。如果您手動啟用對 SSL v2 的支援,請返回並停用。如果您仍在使用較舊版 (不再支援) 的 IIS,請升級到 7 版或更新版本的 IIS。
網路安全服務 (NSS)
如果您正使用 NSSIS 3.13 或更新版本,預設為停用 SSL v2。如果您手動啟用對 SSL v2 的支援,您需要返回並將其停用。如果您仍在使用較舊版 NSS,請升級到 NSS 3.13 或更新版本。
Apache、Nginx 等。
如果您的伺服器支援 SSL v2,請停用對其的支援。