DROWN

Decrypting RSA using Obsolete and Weakened eNcryption

相關錯誤

"此伺服器難以抵禦 DROWN 攻擊。在伺服器上停用 SSLv2 通訊協定。"

問題

研究人員公佈在 SSL 2 中的 DROWN 漏洞,DROWN 代表 Decrypting RSA with Obsolete and Weakened eNcryption (即利用過時和弱加密來解密 RSA)。影響依賴 SSL 和 TLS 通訊協定的 HTTPS 和其他服務。

攻擊者可使用 DROWN 漏洞破解用於保護您的敏感資料免於遭到窺探的加密。如果加密遭到跛解,攻擊者可以讀取/如果加密遭到跛解,攻擊者可以讀取/竊取您的敏感通訊 (例如密碼、財務資料和電子郵件)。在有些情況中,攻擊者也可以扮演受信任的網站。

雖然 SSL 2.0 通訊協定在 1996 年就因為已知的安全瑕疵退出市場,但有些伺服器仍在使用。普遍知道的漏洞/安全性瑕疵:

  • 匯出密碼的訊息完整性弱
  • 訊息完整性不安全
  • 難以抵禦 Man-In-The-Middle 攻擊
  • 難以抵禦 Truncation 攻擊

解決方法

在仍支援 SSL v2 的伺服器或服務上停用 SSL 2.0。

OpenSSL

對於 OpenSSL,最簡單的解決方法是升級到最新發佈的 OpenSSL 版本。

如果您仍在使用其中一種較舊版 (不再支援) 的 OpenSSL,請升級到支援的較新版本。

Microsoft IIS

如果您正使用 IIS 7 或更新版本,預設為停用 SSL v2。如果您手動啟用對 SSL v2 的支援,請返回並停用。如果您仍在使用較舊版 (不再支援) 的 IIS,請升級到 7 版或更新版本的 IIS。

網路安全服務 (NSS)

如果您正使用 NSSIS 3.13 或更新版本,預設為停用 SSL v2。如果您手動啟用對 SSL v2 的支援,您需要返回並將其停用。如果您仍在使用較舊版 NSS,請升級到 NSS3.13 或更新版本。

Apache、Nginx 等。

如果您的伺服器支援 SSL v2,請停用對其的支援。