來源：http://bbs.ichunqiu.com/thread-9617-1-1.html?from=ch

近日，安全研究人員發(fā)現(xiàn)了OpenSSL的一個新漏洞，可能導致約1150萬臺HTTPS服務器癱瘓，超過總數(shù)的33%。

曾經(jīng)“心臟出血”的OpenSSL又出事兒了（圖片來自Yahoo）

據(jù)悉，DROWN是一種跨協(xié)議攻擊，如果服務器使用了SSLv2協(xié)議和EXPORT加密套件，攻擊者就能利用這項技術(shù)破解服務器的TLS會話信息。

2015年12月29日，安全研究人員Nimrod Aviram和Sebastian Schinzel首次將該問題報告給了OpenSSL團隊，后者隨即推送了安全補丁。

需要注意的是，客戶端與不存在漏洞的服務器進行通信時，攻擊者可以利用其他使用了SSLv2協(xié)議和EXPORT加密套件（即使服務器使用了不同的協(xié)議，例如SMTP，IMAP或者POP等協(xié)議）的服務器RSA密鑰，對二者的通信數(shù)據(jù)進行破解。

目前，OpenSSL已經(jīng)對這一漏洞進行了修補，OpenSSL默認禁用了SSLv2協(xié)議，并移除了SSLv2協(xié)議的EXPORT系列加密算法。OpenSSL強烈建議，用戶停止使用SSLv2協(xié)議。