所实施的保护措施

所实施的保护措施

由于其可以破坏基于TLS / SSL加密协议的通信机密性，例如在电子商务网站中经常使用的HTTPS，因此此种漏洞攻击的危害非常严重。根据NopSec首席技术官Michelangelo Sidagni的说法，网站操作人员可以通过在其所有SSL / TLS服务器（包括HTTP，IMAP，POP和SMTP服务器）中禁用SSLv2协议来避免遭受攻击。

他表示：“即使所有SSLv2密码名义上都被禁用了，但是尚未禁用SSLv2协议且未修复CVE-2015-3197漏洞的服务器也易受DROWN攻击影响，因为恶意客户端可能会强制使用SSLv2与EXPORT密码”。

Sidagni表示，OpenSSL是1.0.2g版本中最脆弱且最常见的库，而作为缓解策略，默认情况下SSLv2将在内置时被禁用。更多文章请阅读：美国linux主机cn.bluehost.com

众所周知的历史

SSLv2的历史可以追溯到1995年。由于SSLv2 存在许多漏洞，因此1996年推出了SSLv3。然而，PC Pitstop的网络安全副总裁Dodi Glenn表示，SSLv2 和SSLv3 分别于2011年和2015年被废弃，无论是否出现了DROWN漏洞，这两种协议都应该被禁用。

他指出：“DROWN漏洞的修复方法非常易于实施，只要禁用SSLv2即可。SSLv2漏洞十分具有危害性，不是因为它会自动启用，而是因为客可以利用该漏洞窃取用户的安全数据。”

该报告的联合作者Aviram指出，个人电脑用户只能依赖于服务器和网站管理员，因为他们无法靠自己的力量来抵御攻击。

他表示：“网络浏览器或者其他客户端软件在面对 DROWN漏洞时都无能为力。只有服务器操作人员才能采取措施抵御此种攻击。”