低成本的 DROWN 攻击能在数小时内完成数据解密,该攻击对采用了 TLS 的邮件服务器也同样奏效。
一个国际研究小组于周二发出警告,据称逾 1100 万家网站和邮件服务采用的用以保证服务安全的 传输层安全协议 TLS,对于一种新发现的、成本低廉的攻击而言异常脆弱,这种攻击会在几个小时内解密敏感的通信,在某些情况下解密甚至能瞬间完成。 前一百万家最大的网站中有超过 81,000 个站点正处于这种脆弱的 HTTPS 协议保护之下。
这种攻击主要针对依赖于 RSA 加密系统)的 TLS 所保护的通信,密钥会间接的通过 SSLv2 暴露,这是一种在 20 年前就因为自身缺陷而退休了的 TLS 前代协议。该漏洞允许攻击者可以通过反复使用 SSLv2 创建与服务器连接的方式,解密截获的 TLS 连接。
作者:ArsTechnica 译者:Ezio 校对:martin2011qi, wxy
Linux 基金会发表申明说:在 Linux.com 和 LinuxFoundation.org 网站离线关闭三天后的情况下,仍然持续不断的遭受暴力攻击。不过这些攻击不会对 Linux 核心造成伤害,但 Linux 基金会网站的用户注册信息有可能已经泄露。
在一个多星期前,在 Kernel.org 服务器上发现恶意软件的时侯,Linux 基金会就对包括 Linux.com 和LinuxFoundation.org 在内的和其相关的子域名网站采取了关闭和分离网站的措施。但是在网站离线后,管理员依然在服务器上发现在9月8日和9月11日两天,给网站的所有注册用户发送了电子邮件。
9月15日网站已经关闭5天。一个更新版本的说明页面显示在所有受到攻击的站点上。
Linux.com 网站并没有明文的储存用户的密码,所以攻击者即便获得用户名和密码,要想使用他们仍然是非常难的事情。如果大家有什么问题,可以通过电子邮件([email protected])联系他们。
如果大家在其他地方使用同样的用户名和密码,建议大家立即改变他们。