检测OpenSSL-DROWN漏洞

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
所有文档
menu
没有找到结果,请重新输入

SSL证书服务 CAS

  • 产品描述
    • 介绍
    • 优势
    • 使用场景
    • 核心概念
  • SSL证书安装指南
    • Tomcat服务器安装SSL证书
    • 在Apache服务器上安装SSL证书
    • 在IIS服务器上安装SSL证书
    • 在Nginx或Tengine服务器上安装证书
  • 证书相关概念
    • 主流数字证书都有哪些格式?
  • 典型实践
    • Ubuntu系统Apache 2部署SSL证书
    • OpenSSL心血漏洞(Heartbleed)修复方案
    • 检测OpenSSL-DROWN漏洞
    • 密文填塞漏洞
    • CentOS系统Tomcat 8.5或9部署SSL证书
    • OpenSSL-CCS注入漏洞修复方案
    • HTTPS安全典型实践
      • 安全加固
      • 服务器软件
      • SSL和TLS部署
  • 操作指南
    • 多用户访问控制
    • 管理证书
    • BaiduTrust云端配置
    • 购买证书
    • 续费证书
    • 签发证书(OV与EV)
    • 购前准备
    • 部署证书
    • 签发证书(DV)
    • 重新签发证书
    • BaiduTrust签发证书
      • DV证书验证与签发
      • OV证书验证与签发
      • EV证书验证与签发
  • API参考
    • 通用说明
    • 云SSL相关接口
    • 公共请求头与公共响应头
    • 附录
    • 查询相关接口
    • 证书相关接口
    • 服务域名
    • 价格相关接口
    • 订单相关接口
    • 错误码
    • 概述
  • 常见问题
    • SSL证书申请问题
    • 浏览器访问相关问题
    • SSL证书部署问题
    • SSL证书生效问题
    • 常见问题总览
    • 一般问题
  • 产品定价
    • 申请退款
    • 产品定价
  • 产品动态
    • 最新活动
    • 最新公告
      • 有关TrustAsia品牌根证书的切换说明
      • 百度自有品牌证书BaiduTrust下线通知
      • Symantec证书品牌名及品牌标识变更通知
      • TrustAsia 免费证书 CT 政策问题
      • SSL证书有效期变更通知及应对策略
      • DigiCert 品牌根证书升级通知
      • 免费SSL证书有效期调整通知
  • 文档中心
  • arrow
  • SSL证书服务CAS
  • arrow
  • 典型实践
  • arrow
  • 检测OpenSSL-DROWN漏洞
本页目录
  • DROWN漏洞的影响
  • DROWN漏洞的利用难度较高
  • DROWN漏洞处理建议

检测OpenSSL-DROWN漏洞

更新时间:2025-08-21

最近OpenSSL官方发布了新的安全公告,公告中提及修复了一个高危漏洞——DROWN跨协议攻击TLS漏洞(水牢漏洞)。

image.png

DROWN漏洞的影响

可以允许攻击者破坏使用SSLv2协议进行加密的HTTPS网站,读取经加密传输的敏感通信,包括密码、信用卡账号、商业机密、金融数据等。

DROWN漏洞的利用难度较高

DROWN漏洞的潜在影响虽然严重,但需要满足多个条件才能被利用:

  1. 漏洞只存在于支持 SSLv2协议的服务端中,而这个是一个古老的协议,官方已经建议禁用;
  2. 依靠OpenSSL的应用程序必须配置使用基于DSA的group去生成基于Diffie Hellman密钥交换的临时密钥;
  3. 利用paddingoracle的攻击方式解密密文,破解密钥需要使用一定性能的计算集群。

DROWN漏洞处理建议

通过DROWN漏洞的攻击原理可以知道:只要服务端支持SSLv2 弱强度加密组件就容易受到影响。

SSLv2是一种古老的协议,官方已经建议禁用SSLv2,并且Microsoft (Windows Server):iis 7和以上的版本默认已经禁止了SSLv2,实践中也有许多客户端已经不支持使用SSLv2。但是由于错误配置,许多网站仍然支持SSLv2。

建议这些网站及时升级openssl,并禁用所有服务器中的SSLv2版本协议。

  1. 在CentOS、Redhat系统,可以通过如下命令升级:
Plain Text 
1# yum update openssl
  1. ubuntu等版本可以通过如下命令升级:
Plain Text 
1# apt-get upgrade opensll
  1. 通过如下配置禁用apache的SSLv2:
Plain Text 
1SSLProtocol all -SSLv2
  1. 通过如下配置限制nginx中只使用TLS协议:
Plain Text 
1ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

当然了,我们也有关于DROWN攻击的好消息带给大家-幸好这一漏洞是由安全研究人员所发现的。但坏消息就是,既然这一漏洞的详细信息已经被公开了,那么不出意外的话,攻击者很快就会利用这项攻击技术来对网络中的服务器进行攻击。

上一篇
OpenSSL心血漏洞(Heartbleed)修复方案
下一篇
密文填塞漏洞