Openssl再爆＂水牢＂漏洞 多家银行和互联网公司受影响

本篇文章845字，读完约2分钟

根据相关外国机构的初步检测和鉴定，世界上约有400万个网站和服务易受这一漏洞的攻击。 openssl今天发现了一个严重的漏洞，可能会影响使用https的一些服务和网站。利用此漏洞，攻击者可以监听加密流量并读取加密信息，如密码、信用卡账户、商业秘密和金融数据。

根据相关外国机构的初步检测和鉴定，世界上约有400万个网站和服务易受这一漏洞的攻击。

根据360个网络攻防实验室的初步统计，中国有109，725个网站可能受到该漏洞的影响。360专门针对该漏洞开发了一个在线检测工具，可通过以下网址进行检测:http://bobao.360/tools/index。

Https是一种在网络浏览器和网站服务器之间传输信息的协议，它以加密的形式发送通信内容，以确保用户上网时的信息不会被第三方截获和解密。Sslv2是一个古老的协议，官方建议禁用sslv2。微软IIS(视窗服务器):默认情况下，sslv2在IIS 7和更高版本中被禁止，许多客户端实际上不支持使用sslv2。然而，由于配置错误，许多网站仍然支持sslv2。

无懈可击的漏洞可让攻击者破坏通过sslv2协议加密的https网站，并读取加密和传输的敏感通信，包括密码、信用卡账户、商业秘密、金融数据等。

360安全专家蔡玉光分析说，利用水牢的漏洞很难，水牢要求攻击者截取https加密的通信数据，破解数据应该发送到的服务器的密钥，这样攻击者就可以解密截取的数据。使用具有一定性能的计算集群破解密钥需要8个小时。租用一个计算集群的成本大约是400美元(基于租用亚马逊集群的成本)。但是一旦攻击成功，攻击者就可以破解他截获的所有加密数据。

360的一些网站也使用openssl，但是360禁止在重要系统中使用不安全的加密包，所以它不受“水监狱”漏洞的影响。

蔡玉光建议受此漏洞影响的用户应确认其私钥不适用于其他支持sslv2的服务，包括web、smtp、imap和pop服务，并禁止在服务器端支持sslv2。此外，openssl可以更新。