近日安全研究人員發(fā)現(xiàn)OpenSSL一個(gè)新的安全漏洞DROWN，這一漏洞可能使目前至少三分之一的HTTPS服務(wù)器癱瘓，受影響的HTTPS服務(wù)器數(shù)量大約為1150萬(wàn)左右。

據(jù)OpenSSL安全公告，DROWN是一種跨協(xié)議攻擊，如果服務(wù)器使用了SSLv2協(xié)議和EXPORT加密套件，那么攻擊者就可利用這項(xiàng)技術(shù)來(lái)對(duì)服務(wù)器的TLS會(huì)話信息進(jìn)行破解。

此外需要注意的是，客戶端與不存在漏洞的服務(wù)器進(jìn)行通信時(shí)，攻擊者可以利用其他使用了SSLv2協(xié)議和EXPORT加密套件（即使服務(wù)器使用了不同的協(xié)議，例如SMTP，IMAP或者POP等協(xié)議）的服務(wù)器RSA密鑰來(lái)對(duì)上述兩者的通信數(shù)據(jù)進(jìn)行破解。

據(jù)國(guó)外媒體報(bào)道，在Alexa網(wǎng)站排名中排名靠前的網(wǎng)站都將有可能受到DROWN的影響，受影響的網(wǎng)站包括雅虎、新浪、阿里巴巴等在內(nèi)的大型網(wǎng)站。

根據(jù)公告，安全研究人員NimrodAviram和SebastianSchinzel于2015年12月29日將這一問(wèn)題報(bào)告給了OpenSSL團(tuán)隊(duì)。隨后，OpenSSL團(tuán)隊(duì)的ViktorDukhovni和MattCaswell共同開(kāi)發(fā)出了針對(duì)此漏洞的修復(fù)補(bǔ)丁。

而隨著OpenSSL發(fā)布官方補(bǔ)丁，這一漏洞的詳細(xì)信息被公開(kāi)，或?qū)⒂泄粽邥?huì)利用這一漏洞來(lái)對(duì)服務(wù)器進(jìn)行攻擊。

目前OpenSSL已針對(duì)該漏洞進(jìn)行更新，OpenSSL默認(rèn)禁用了SSLv2協(xié)議，并且移除了SSLv2協(xié)議的EXPORT系列加密算法。OpenSSL方面強(qiáng)烈建議用戶停止使用SSLv2協(xié)議。

OpenSSL是一個(gè)強(qiáng)大的安全套接字層密碼庫(kù)，囊括主要的密碼算法、常用的密鑰和證書(shū)封裝管理功能及SSL協(xié)議，并提供豐富的應(yīng)用程序供測(cè)試或其它目的使用。而由于OpenSSL的普及，導(dǎo)致其成為了DROWN攻擊的主要攻擊目標(biāo)，但是它并也不是DROWN攻擊的唯一目標(biāo)。

2014年4月8日，OpenSSL的大漏洞曝光。這個(gè)漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟流血”——代表著最致命的內(nèi)傷。利用該漏洞，黑客坐在自己家里電腦前，就可以實(shí)時(shí)獲取到約30%https開(kāi)頭網(wǎng)址的用戶登錄賬號(hào)密碼，包括大批網(wǎng)銀、購(gòu)物網(wǎng)站、電子郵件等。