近日安全研究人员发现OpenSSL一个新的安全漏洞DROWN，这一漏洞可能使目前至少三分之一的HTTPS服务器瘫痪，受影响的HTTPS服务器数量大约为1150万左右。

1. DROWN漏洞是什么

DROWN是一种跨协议攻击，影响HTTPS和其他依赖SSL和TLS的服务,SSL和TLS协议保证用户上网冲浪,购物,即时通信而不被第三方读取到。

DROWN允许攻击者破坏这个加密体系,读取或偷取敏感通信,包括密码,信用卡帐号,商业机密,金融数据等。此外需要注意的是，客户端与不存在漏洞的服务器进行通信时，攻击者可以利用其他使用了SSLv2协议和EXPORT加密套件（即使服务器使用了不同的协议，例如SMTP，IMAP或者POP等协议）的服务器RSA密钥来对上述两者的通信数据进行破解。

 

2. 有多少网站受影响

据国外媒体报道，在Alexa网站排名中排名靠前的网站都将有可能受到DROWN的影响，受影响的网站包括雅虎、阿里巴巴、新浪等在内的大型网站，不过知道创宇云安全CDN主机不受此影响。

目前可通过：https://test.drownattack.com/?site= 来查询自己的站点是否收到了影响

    3. 补救措施

根据公告，OpenSSL团队开发出了针对此漏洞的修复补丁，并且已经发布官方补丁。目前OpenSSL已针对该漏洞进行更新，OpenSSL默认禁用了SSLv2协议，并且移除了SSLv2协议的EXPORT系列加密算法。OpenSSL方面强烈建议用户停止使用SSLv2协议。

 

关于这次的漏洞事件知道创宇的安全团队们也在技术分析，创宇君会持续关注播报。欢迎大家和创宇君一起探讨。