DROWN

对使用过时和弱加密的 RSA 解密

相关错误

"此服务器易受 DROWN 攻击。在服务器上禁用 SSLv2 协议。"

问题

研究人员发现了 SSL v2 中的 DROWN 漏洞DROWN 表示对使用过时和弱加密的 RSA 解密。它攻击 HTTPS 以及其他依赖于 SSL 和 TLS 协议的服务。

攻击者可以利用 DROWN 漏洞破解用于保护您的敏感数据不被窃取的加密。如果加密被破解,攻击者可以读取/窃取您的敏感通信(例如,密码、财务数据和电子邮件)。在有些情况下,攻击者还可以模拟受信任的网站。

尽管 SSL 2.0 协议在 1996 年因为已知的安全缺陷而被否定,但有些服务器仍在使用它。已知的漏洞/安全缺陷:

  • 导出密码的消息完整性弱
  • 消息完整性不安全
  • 易受中间人攻击
  • 易受截断攻击

解决方案

在仍然支持 SSL v2 的服务器或服务上禁用 SSL 2.0。

OpenSSL

对于 OpenSSL,最简单的解决方案是升级至最新发布的 OpenSSL 版本。

如果您仍在使用较早版本(不再受支持)的 OpenSSL,请升级至受支持的较新版本。

Microsoft IIS

如果您使用的是 IIS 7 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您运行的是较早版本(不再受支持)的 IIS,请升级至 IIS 7 或更新版本。

网络安全服务 (NSS)

如果您使用的是 NSS 3.13 或更新版本,则默认禁用 SSL v2。如果您手动启用 SSL v2 支持,请返回去禁用。如果您使用的是较早版本的 NSS,请升级至 NSS 3.13 或更新版本。

Apache、Nginx 等。

如果您的服务器支持 SSL v2,请禁用该支持。