ssl漏洞
近日由密西根大学、约翰霍普金斯大学、微软研究中心及法国Inria Nancy-Grand Est、 Inria Paris-Rocquencourt等组成的研究团队发现一个SSL加密安全漏洞LogJam,这个漏洞与FREAK类似,可能影响全球数百万台服务器。
与FREAK类似的SSL新漏洞LogJam影响巨大
LogJam漏洞将影响任何支持DHE_EXPORT密码的服务器及所有浏览器,包括最新版的IE、Chrome、Firefox、Safari等。估计全球前100万域名中有8.4%域名受影响,HTTPS网站也有3.4%会受到波及。
和FREAK一样,LogJam也是利用90年代美国政府禁止输出高规格加密标准管理方法,诱骗服务器采用较弱、长度较短的512-bit密钥。
研究人员指出,LogJam出现在常用的密钥交换加密演算法中(Diffie-Hellman key exchange),这个演算法让HTTPS、SSH、IPSec及SMTPS等网络协定产生共享的加密密钥,并建立安全连线。LogJam漏洞使黑客得以发动中间人攻击,让有漏洞的TLS连线降级为512-bit出口等级的密码交换安全性,再读取或修改经由TLS加密连线传输的资料。该漏洞情况与三月爆发的FREAK颇为类似,差别在于它是基于TLS协定的漏洞,而非实际的瑕疵,而且攻击目的为Diffie-Hellman,不是RSA的密钥交换。
安全研究人员指出,全球数百万台HTTPS、SSH、VPN服务器都以相同的prime number(质数)行Diffie-Hellman密钥交换,过去一般相信只要每次建立连线时产生新的密钥交换信息就安全。然而破解Diffie-Hellman连线最有效的手法称为number field sieve,破解的第一步骤完全取决这个prime number,一旦通过这一步,攻击者就能迅速破解入侵。
研究人员在示范中将这项运算法用于TLS最常用的512-bit质数中,LogJam攻击可用以降级80%支持DHE_EXPORT的TLS服务器,随后他们评估称学院派黑客可以破解768-bit的质数,而国家支持的黑客更可以突破1024-bit的质数。破解网页服务器最常用的单一1024-bit质数即可针对前100万个HTTPS域名中18%的域名连线内容进行被动式窃听(passive eavesdropping)。到第二个质数则可被动式解密(passive decryption)破解66%的VPN服务器和26%的SSH服务器的连线加密。研究人员表示,经过仔细研究NSA外泄文件,显示NSA攻击VPN连线的手法就和LogJam很近似。
安全人员呼吁,网页与邮件服务器系统管理员应立即关闭对出口演算法套件的支持,并建立独一无二的2048-bit Diffie-Hellman群组。使用SSH的服务器及用户端软件应升级到采用Elliptic-Curve Diffie-Hellman密钥交换的最新版本OpenSSH。一般消费者也应确保使用最新版本的浏览器。微软IE已在上周修补包括windowsServer 2003以上,以及Windows 7、Windows 8/8.1中的此一漏洞。Firefox,Chrome和Safari也很快会有修补程序发布。
理论上任何使用Diffie-Hellman密钥交换的协定都有遭遇LogJam攻击的危险,但是攻击者必需具备两大条件才有能力攻击,一是具有破解服务器以及用户端连线流量的能力,其次是有足够的运算资源。而研究团队估算的全球一百大域名的8.4%网站有漏洞来看,这个数字很类似POP3S和IMAPS(安全电子邮件)服务器比较危险。
对于一般使用者来说,只要保持浏览器的更新状态即可。对软件开发者来说,只要确保应用程序内捆绑的函数库为最新版本即可。此外,也可以特别为密钥交换设定使用更大的质数。对系统受到影响的IT管理员来说,建议首先关闭对于所有出口密码套件的支持,以确保这些密码套件无法使用;其次将Diffie-Hellman密钥交换所使用的质数提高到2048 bits,以提高破解所需的运算资源门槛。
相关阅读
给网站安装SSL安全证书如今已成为趋势,它的重要意义不言而喻。对大型交易类网站来说,安装高级EV SSL证书是首选。目前市场上颁发EV
什么是网站渗透测试? 该如何做网站安全检测网站的渗透测试简单来 说就是模拟攻击者的手法以及攻击手段去测试网站的漏洞,对网站进行
深入解析sprintf格式化字符串漏洞 0x00 前言 从相遇到相识 从相识到相知 ......... 不过你真的懂ta吗 这次故事的主角是PHP中的
环境 攻击机器:ubuntu 18.04被攻击机器:windows xp sp2 可能使用的工具 metasploitnessusnmap等 正文 首先搭建所需要的靶机环境
A5创业网(公众号:iadmin5)1月30日报道,近日不少媒体曝出了苹果iPhone手机中的FaceTime功能出现了隐私漏洞,当用户在使用该功能时,可以在