由马克Hatle驳斥

安全研究人员本周披露了对SSLv2协议的攻击。访问https://drownattack.com如果你想直接知道独家新闻的话。

这是针对SSLv2协议的一系列攻击中的又一个，包括几年前广为宣传的Heartbleed问题。

该协议被认为是如此的不安全，以至于在2011年，创建了一个RFC来反对SSLv2的站点时协议。事实上，攻击专门针对旧的代码库（在它被重构之前），知道有更多的漏洞。

可怕的是，他们做出了明智的选择，因为大多数部署的设备很少更新。

在最近最近的漏洞通知中，已发现人在中间攻击剥削SSLv2中的弱点。大多数这些攻击使用弱或过时的加密模​​型，或利用其他问题，由于SSLv2中固有的弱点，使其更容易。作为OpenSSL的CVE-2016-0800补丁的一部分，社区已决定默认禁用SSLv2的时间，以及许多弱势SSLv3密码。

风河系统公司Linux，在可能的情况下，为CVE-2016-0800提供了热修复补丁，以匹配社区建议。虽然产品策略是避免更改发布产品中的组件配置，但在这种情况下，我认为这样做是正确的。客户可以选择通过简单的配置更改来重新启用代码，但我建议不要这样做。

接下来，重要的是跟踪对SSLv2的进一步攻击，以确定旧设备的风险。在某一时刻，也许是现在，我们正处在一个旧设备需要更新或需要怀疑的地方。重要的是，新的设计不再使用SSLv2或任何弱密码。

最重要的是-保持你的设备更新!