DROWN 中间人劫持漏洞

2016-03-02 17:15:16

漏洞描述:
国外安全专家发现了一种名为“DROWN”的中间人攻击方式,漏洞编号为CVE-2016-0800。若服务器支持以“SSLv2”协议和“EXPORT”加密算法进行安全连接时,攻击者通过截获客户端和服务端的通信数据,利用穷举的方式破解出被加密的原文,实现中间人劫持。
漏洞修复:
注:建议在修复前创建服务器快照,以免修复失败造成损失。
打开nginx的配置文件,修改SSL使用的加密算法(若无,请添加):
nginx ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;
更多见阿里云大大
|