近日安全研究人員發(fā)現(xiàn)OpenSSL一個新的安全漏洞DROWN，這一漏洞可能使目前至少三分之一的HTTPS服務器癱瘓，受影響的HTTPS服務器數(shù)量大約為1150萬左右。

據(jù)OpenSSL安全公告，DROWN是一種跨協(xié)議攻擊，如果服務器使用了SSLv2協(xié)議和EXPORT加密套件，那么攻擊者就可利用這項技術來對服務器的TLS會話信息進行破解。

此外需要注意的是，客戶端與不存在漏洞的服務器進行通信時，攻擊者可以利用其他使用了SSLv2協(xié)議和EXPORT加密套件（即使服務器使用了不同的協(xié)議，例如SMTP，IMAP或者POP等協(xié)議）的服務器RSA密鑰來對上述兩者的通信數(shù)據(jù)進行破解。

據(jù)國外媒體報道，在Alexa網(wǎng)站排名中排名靠前的網(wǎng)站都將有可能受到DROWN的影響，受影響的網(wǎng)站包括雅虎、新浪、阿里巴巴等在內(nèi)的大型網(wǎng)站。

根據(jù)公告，安全研究人員NimrodAviram和SebastianSchinzel于2015年12月29日將這一問題報告給了OpenSSL團隊。隨后，OpenSSL團隊的ViktorDukhovni和MattCaswell共同開發(fā)出了針對此漏洞的修復補丁。

而隨著OpenSSL發(fā)布官方補丁，這一漏洞的詳細信息被公開，或?qū)⒂泄粽邥眠@一漏洞來對服務器進行攻擊。

目前OpenSSL已針對該漏洞進行更新，OpenSSL默認禁用了SSLv2協(xié)議，并且移除了SSLv2協(xié)議的EXPORT系列加密算法。OpenSSL方面強烈建議用戶停止使用SSLv2協(xié)議。

OpenSSL是一個強大的安全套接字層密碼庫，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議，并提供豐富的應用程序供測試或其它目的使用。而由于OpenSSL的普及，導致其成為了DROWN攻擊的主要攻擊目標，但是它并也不是DROWN攻擊的唯一目標。

2014年4月8日，OpenSSL的大漏洞曝光。這個漏洞被曝光的黑客命名為“heartbleed”，意思是“心臟流血”——代表著最致命的內(nèi)傷。利用該漏洞，黑客坐在自己家里電腦前，就可以實時獲取到約30%https開頭網(wǎng)址的用戶登錄賬號密碼，包括大批網(wǎng)銀、購物網(wǎng)站、電子郵件等。