DROWN

对使用过时和弱加密的 RSA 解密

研究人员发现了 SSL v2 中的 DROWN 漏洞。DROWN 表示对使用过时和弱加密的 RSA 解密。它攻击 HTTPS 以及其他依赖于 SSL 和 TLS 协议的服务。

攻击者可以利用 DROWN 漏洞破解用于保护您的敏感数据不被窃取的加密。如果加密被破解，攻击者可以读取或窃取您的敏感通信（例如，密码、财务数据和电子邮件）。在有些情况下，攻击者还可以模拟受信任的网站。

尽管 SSL 2.0 协议在 1996 年因为已知的安全缺陷而被否定，但有些服务器仍在使用它。已知的漏洞/安全缺陷：

在仍然支持 SSL v2 的服务器或服务上禁用 SSL 2.0。

对于 OpenSSL，最简单的解决方案是升级至最新发布的 OpenSSL 版本。如果您仍在使用较早版本（不再受支持）的 OpenSSL，请升级至受支持的较新版本。

如果您使用的是 IIS 7 或更新版本，则默认禁用 SSL v2。如果您手动启用 SSL v2 支持，请返回去禁用。如果您运行的是较早版本（不再受支持）的 IIS，请升级至 IIS 7 或更新版本。

如果您使用的是 NSS 3.13 或更新版本，则默认禁用 SSL v2。如果您手动启用 SSL v2 支持，请返回去禁用。如果您使用的是较早版本的 NSS，请升级至 NSS 3.13 或更新版本。

如果您的服务器支持 SSL v2，请禁用该支持。

本节内容如下: