OpenSSL DROWN溺亡漏洞的检测及修复方法

最新推荐文章于 2022-05-24 10:32:31 发布
最新推荐文章于 2022-05-24 10:32:31 发布
阅读量6.3k 收藏 2
点赞数
分类专栏: 问题及解决
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyaqun/article/details/50817095
版权

一、漏洞描述: 现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。

二、漏洞影响:
大部分支持SSLv2的服务器均会受到该漏洞影响,比如启用了ssl、tls加密的web服务器、邮件服务器。

三、检测方法:
你也可使用检测工具检查,下载地址:
https://github.com/nimia/public_drown_scanner

四、修复方法:
确保你的私钥不适用于其他的支持sslv2服务,包括web,smtp,imap,pop服务等。禁止服务器端的sslv2支持。如果是Openssl,请查看OpenSSL官方给出的修复指南。
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

如果是nginx服务器直接在nginx.conf配置文件中去掉ssl_protocols SSLv2的支持。

示例:
[root@yn_vm_dev46 public_drown_scanner]# yum install python-virtualenv

[root@yn_vm_dev46 public_drown_scanner]# virtualenv drown
New python executable in drown/bin/py

最低0.47元/天 解锁文章
运维-Frank
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
OpenSSL曝“DROWN”漏洞,沃通教你3步防攻击
IT技术
03-03 495
据悉,外国研究人员发现OpenSSL出现新的安全漏洞“DROWN”,该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻击。沃通CA得知消息后,第一时间发布安全建议,并为SSL证书用户提供检测服务和技术咨询,帮助用户及时规避该漏洞可能造成的影响。   什么是Drown漏洞   “DROWN”全称是 Decrypting RSA with Obsolete and ...
openssl漏洞补丁修复
weixin_34313182的博客
04-11 944
CVE-2014-0160漏洞背景2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当***者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后...
DROWN漏洞
努力努力再努力!!!
11-05 1658
转载:http://ssl.zzidc.com/chanpinzixun/2016/0304/358.html 1.什么是DROWN漏洞? "DROWN"全称是 Decrypting RSA with Obsolete and Weakened eNcryption,是指"利用过时的脆弱加密算法来对RSA算法进破解",主要针对SSLv2协议漏洞来对TLS进行跨协议攻击。       "DROW...
三步应对OpenSSL新型漏洞DROWN
weixin_34250434的博客
03-03 456
OpenSSL爆出新型安全漏洞,“DROWN”全称是 Decrypting RSA with Obsolete and Weakened eNcryption,即“利用过时的脆弱加密算法来对RSA算法进破解”,指利用SSLv2协议漏洞来对TLS进行跨协议攻击。该漏洞将对SSL协议造成安全威胁,攻击者有可能利用这个漏洞对https站点进行攻...
修补网络安全漏洞之-openssl手工升级
wangli的博客
11-17 1320
一、什么是openssl     OpenSSL是一个软件库,用于保护计算机网络上的通信免受窃听或需要在另一端识别该方的应用程序。它广泛用于互联网Web服务器,服务于大多数网站。简单的理解一句话:openssl是一个C语言函数库,对SSL协议的实现,主要用于web服务器上提供https的加密服务。     OpenSSL包含SSL和TLS协议的开源实现。以C编程语言编写的核心库实现了基本的加密...
OpenSSL“心血”漏洞检测修复指南
06-24
OpenSSL“心血”漏洞检测修复指南
openssl-1.0.1g heartbleed漏洞已经修复
04-09
openssl-1.0.1g 的源码,已经修复了2014-4-8曝光的heartbleed(心脏出血)漏洞
针对OpenSSL安全漏洞调整Nginx服务器的方法
01-10
 当前爆出了Openssl漏洞,会泄露隐私信息,涉及的机器较多,环境迥异,导致修复方案都有所不同。不少服务器使用的Nginx,是静态编译 opensssl,直接将openssl编译到nginx里面去了,这就意味着,单纯升级openssl是...
OpenSSL漏洞简述与网络检测方法
04-29
由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台...因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
linux下检查ssl漏洞,openssl漏洞
weixin_28746213的博客
05-14 706
openssl漏洞2019-02-27如今越来越多的互联网用户给自己的站点加上SSL安全证书,这即保证了站点数据在传输过程中的安全,同时也保证了用户在提交敏感数据得到了充分的保护。但是如果你们只认为光把SSL证书部署安装进去就万事大吉了。DROWN出了一个严重的漏洞影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。DROWN允许攻击...
poodle漏洞检测工具
10-09
从CMD运行该文件,后边加上目标IP地址即可判断自动判断该地址是否有POODLE风险漏洞
Python-publicdrownscanner提供对TLS的DROWN攻击扫描
08-10
public_drown_scanner-提供对 TLS 的 DROWN 攻击扫描
Drown跨协议攻击TLS漏洞分析
蔚可云的博客
02-15 2800
北京时间 2016年3月2日,OpenSSL官方发布了新的安全公告。公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞。百度云安全威胁管理团队联合百度安全应急响应中心第一时间对事件触发应急响应和全网感知,深度分析了漏洞的危害和影响范围。 经分析,攻击者利用该漏洞可突破目前广泛使用的依赖SSL和TLS安全加密体系,互联网中有大约1100万站点或者服务受到此漏洞影响。 一、Drown跨协议攻击TLS漏洞分析 漏洞危害 攻击者通过中间人攻击等手段截获和解密用户和服务器之间的加密通信,包.
OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣
weixin_34327761的博客
09-04 1301
引子 本文讲的是OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣,本来最近和360 Nirvan Team的DQ430愉快的参加某加密厂商的年度大会,结果openssl也出来碰热闹,也许真是为了DH兄弟送大礼,苦了我们这些安全运维的。 感谢Shawn的指点!hf! 细节 360在内部信息安全实践历程中,“360信息...
Nginx SSL漏洞(SWEET32)扫描和修复 —— 筑梦之路
筑梦之路
05-24 2811
1.扫描 nmap -sV --script ssl-enum-ciphers -p 443 www.baidu.com nmap --script="ssl-enum-ciphers" -sS -Pn -p 443 www.baidu.com sslscan www.baidu.com 2.nginx ssl配置 ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:.
复现awvs——DROWN跨协议攻击TLS漏洞(CVE-2016-0800),LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)和Sweet32攻击漏洞(CVE-2016-2183)
记录并分享学习安全的知识点..
12-30 3935
1.首先介绍一下漏洞: (1)DROWN跨协议攻击TLS漏洞(CVE-2016-0800): 现在流行的服务器和客户端使用TLS加密,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到,但是DROWN(溺亡)漏洞允许攻击者破坏这个加密体系,通过“中间人劫持攻击”读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。 (2)LogJam中间人安全限制绕过漏洞 (CVE-2015-4000): LogJam攻击是一个 SSL/TLS 漏洞,允许攻击者拦截易受攻击的客户端和服务
解析OpenSSL重大安全漏洞
风叶
04-30 3709
2014年4月8日,XP宣布正式停止服务的日子,也是OpenSSL爆出大漏洞的日子。这个漏洞影响30~50%比例使用https的网站,其中包括大家经常访问的:支付宝、微信、淘宝、网银、社交、门户等知名网站。只要访问https的网站便有可能存在被嗅探数据的风险。   OpenSSL是什么?   OpenSSL是目前移动互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。它为网络通信提
OpenSSL重大漏洞-Heartbleed之漏洞利用脚本POC讲解
weixin_34128839的博客
05-14 389
OpenSSL Security Advisory [07 Apr 2014] ======================================== TLS heartbeat read overrun (CVE-2014-0160) ========================================== A missing bounds check in the...
Openssl 拒绝服务漏洞(CVE-2011-1473)修复
最新发布
05-30
为了修复漏洞,您需要更新您的OpenSSL软件版本。具体步骤如下: 1. 确认您当前的OpenSSL版本是否存在CVE-2011-1473漏洞。您可以使用以下命令检查: ``` openssl version -a ``` 2. 如果您的OpenSSL版本受到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值