solidot新版网站常见问题,请点击这里查看。

OpenSSL 1.0.2g发布

安全
AnkhMorpork (36532)发表于 2016年03月02日 10时00分 星期三
来自网管运维又要忙了
Hardenedlinux 写道 "*EMBARGOED*结束后OpenSSL adversary公开了修复漏洞信息,其中两个洞还有了fancy name,一个叫DROWN,一个叫Cachebleed。DROWN主要是OpenSSL代码中还存在SSLv2和EXPORT(当年密码禁运时期的产物),攻击者可以实现中间人劫持,LibreSSL不存在这个问题,因为SSLv2的代码已经被删除了(GnuTLS也被删除了的),这个漏洞如果中招的同学肯定是没有认真对待TLS合规,防护方法是服务器端不支持SSLv2的链接即可,TLS的基线也很重要,认真的去检查一下服务器端的配置以及Ciphersuites。

Cachebleed结合CPU微结构的设计上的特性来玩侧信道攻击,利用banks并发访问的冲突来实现信息泄漏,攻击场景应该主要为HOST/GUEST云(多)租户环境,如果你的机器是重要的基础设施或者你的威胁建模里有BIGBRO,那还是建议关掉HT,因为你不知道之后的IvyBridge/Haswell/Broadwell/SKylake会不会有相似的问题。"
「星期三」 Hello Wednesday

OpenSSL 1.0.2g发布

Hardenedlinux 写道 "*EMBARGOED*结束后OpenSSL adversary公开了修复漏洞信息,其中两个洞还有了fancy name,一个叫DROWN,一个叫Cachebleed。DROWN主要是OpenSSL代码中还存在SSLv2和EXPORT(当年密码禁运时期的产物),攻击者可以实现中间人劫持,LibreSSL不存在这个问题,因为SSLv2的代码已经被删除了(GnuTLS也被删除了的),这个漏洞如果中招的同学肯定是没有认真对待TLS合规,防护方法是服务器端不支持SSLv2的链接即可,TLS的基线也很重要,认真的去检查一下服务器端的配置以及Ciphersuites。

Cachebleed结合CPU微结构的设计上的特性来玩侧信道攻击,利用banks并发访问的冲突来实现信息泄漏,攻击场景应该主要为HOST/GUEST云(多)租户环境,如果你的机器是重要的基础设施或者你的威胁建模里有BIGBRO,那还是建议关掉HT,因为你不知道之后的IvyBridge/Haswell/Broadwell/SKylake会不会有相似的问题。"

AnkhMorpork 发表于

2016年03月02日 10时00分