处理漏洞
Dyadic首席科学家Yehuda Lindell表示,虽然DROWN漏洞的危害性极大,但是服务器操作人员和系统管理员还是能够采取措施轻松抵御攻击,即禁用SSLv2 和SSL v3。
他认为:“通过配置服务器并取消其对SSLv2的支持,用户就能够有效防御DROWN漏洞的攻击。因此DROWN漏洞不像Heartbleed漏洞那样需要更新服务器软件,而是只需通过配置就可进行预防。”
Varonis战略和市场开发部总监Rob Sobers指出,对于此次攻击的正确处理方式就是禁用所有的SSLv2 ,这种方式操作起来可能具有一定的复杂性。此外,您还应该确保您的私人秘钥不会何使用 SSLv2的服务器共享。
他指出:“关于此种攻击需要注意的一点就是,如果您使用了SSLv2运行服务且忘记对其进行更新或禁用,外加上您使用的是共享RSA秘钥,那么其他使用TLS协议的最新系统也会受到威胁。”
现有的保护措施
由于其可以破坏基于TLS / SSL加密协议的通信机密性,例如在电子商务网站中经常使用的HTTPS,因此此种漏洞攻击的危害非常严重。 根据NopSec首席技术官Michelangelo Sidagni的说法,网站操作人员可以通过在其所有SSL / TLS服务器(包括HTTP,IMAP,POP和SMTP服务器)中禁用SSLv2协议来避免遭受攻击。
他表示:“即使所有SSLv2密码名义上都被禁用了,但是尚未禁用SSLv2协议且未修复CVE-2015-3197漏洞的服务器也易受DROWN攻击影响,因为恶意客户端可能会强制使用SSLv2与EXPORT密码”。
Sidagni表示,OpenSSL是1.0.2g版本中最脆弱且最常见的库,而作为缓解策略,默认情况下SSLv2将在内置时被禁用。
众所周知的历史
SSLv2的历史可以追溯到1995年。由于SSLv2 存在许多漏洞,因此1996年推出了SSLv3。然而,PC Pitstop的网络安全副总裁Dodi Glenn表示,SSLv2 和SSLv3 分别于2011年和2015年被废弃,无论是否出现了DROWN漏洞,这两种协议都应该被禁用。
他指出:“DROWN漏洞的修复方法非常易于实施,只要禁用SSLv2即可。SSLv2漏洞十分具有危害性,不是因为它会自动启用,而是因为黑客可以利用该漏洞窃取用户的安全数据。”
该报告的联合作者Aviram指出,个人电脑用户只能依赖于服务器和网站管理员,因为他们无法靠自己的力量来抵御攻击。
他表示:“网络浏览器或者其他客户端软件在面对 DROWN漏洞时都无能为力。只有服务器操作人员才能采取措施抵御此种攻击。”
更多资讯内容:>>>350万HTTPS服务器被DROWN漏洞影响