新闻链接：815K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0G2j5X3q4G2i4K6u0W2x3K6j5H3i4K6u0W2j5$3&6Q4x3V1k6F1k6i4N6K6i4K6u0r3k6r3g2@1j5h3W2D9i4K6u0r3x3K6p5I4y4#2)9J5k6h3S2@1L8h3H3`.
新闻时间：2016-06-01 14:20:49
新闻正文：据安全公司High-Tech Bridge所说,Alexa排名前10000的网站中有许多仍然存在OpenSSL的CVE-2016-2107漏洞。

CVE-2016-2107漏洞对于开源加密库的影响可以被用来进行中间人攻击。只要用于连接的是AES CBC密码和支持AES NI的服务器,那么攻击者就可以利用“ Padding Oracle攻击”解密HTTPS通信。

据专家介绍,自从2013年以来这个漏洞就一直在影响着OpenSSL加密库,当时项目维护人员修复了另一个被称为幸运13的 Padding Oracle攻击。

OpenSSL公布的说明中这样说,“只要网络连接采用的是AES CBC密码和支持AES NI的服务器,那么MITM攻击者就可以使用padding oracle攻击解密通信。在当时对幸运13padding攻击(CVE-2013-0169)进行修复的时候也考虑到了这个问题。填充审核代码会定期重写,以确保每次读取的都是相同字节,并且将其与MAC和填充字节进行比较。但是没有再检查是否有足够的数据来承载MAC和填充字节。”

5月初发布了1.0.2h和1.0.1t版本之后,风波暂时平息了。但是安全公司 High-Tech Bridge进行的一项分析显示,Alexa的排名前10000的网站中还有很多存在着漏洞。

High-Tech Bridge在发表的博客中写道,“不幸的是出于兼容性考虑, TLS 1.2 RFC 要求、 NIST 推荐使用的都是AES CBC密码。该密码也被认为是TLS1.0和TLS1.1的最佳选择。”

专家们对Alexa访问量排名前10000的网站、电子商务和社交平台进行了一次快速、非侵入性的研究,查找可能存在的OpenSSL CVE2016-2107漏洞。

研究人员使用的是一种免费的SSL/TLS服务器测试工具,该测试工具的设计初衷就是为了自动化搜索CVE2016-2107漏洞。

“我们使用这种免费的SSL/TLS服务器测试工具对Alexa名单中的每一家公司都进行了下列自动化检查:”

· 网站HTTPS测试(443端口)

· 邮件服务器SSL、TLS和STARTTLS测试(主机/端口):

mail.company.com 25, 110, 143, 465, 587, 993, 995

imap.company.com 143, 993

pop.company.com 110, 995

pop3.company.com 110, 995

smtp.company.com 25, 465, 587

检查结果令人担忧,许多网站都易受到MITM攻击,与1829家顶级网站(占比18.29%)相连的网络和邮件服务器都是脆弱易感的。

“令我们吃惊的是,相当一部分互联网中最受欢迎的资源都是脆弱的。下面是调查结果:”

· 不脆弱的:6258(62.58%)

· 不易感的:1913(19.13%)

· 脆弱且易感的:1829(18.29%)

分析中还写道,“令人十分沮丧的是,这种漏洞很有可能会在实际中被利用来窃取用户数据、凭据、财务和个人信息。”

可以使用SSL/TLS服务器测试工具对自己的服务器进行CVE-2016-2107测试。

转自360安全播报。
原文链接：45fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4y4W2j5%4g2J5K9i4c8&6j5h3k6X3j5h3W2J5M7#2)9J5k6h3y4G2i4K6u0r3N6$3!0J5k6s2m8J5k6i4y4K6i4K6u0r3y4o6M7^5y4K6N6Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8X3y4$3k6g2)9J5k6o6t1H3x3e0k6Q4x3X3b7J5x3e0l9%4i4K6u0V1N6Y4g2D9L8X3g2J5j5h3u0A6L8r3W2@1P5g2)9J5k6h3S2@1L8h3H3`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课