大多数 NGINX 用户都未能发现 OpenSSL 中的 DROWN 漏洞 CVE-2016-0800

最近公布了一个新的 OpenSSL 漏洞 ( CVE-2016-0800 )，称为 DROWN。 它影响几种广泛使用的服务器技术的旧版本：

• SSLv2，安全套接字层协议的旧版本。 大多数最新网站根本不使用安全套接字层 (SSL)，而是已经转向传输层安全性 (TLS)。
• IIS v7，Microsoft Internet Information Services 的旧版本
• NSS 3.13（网络安全服务），一种广泛使用的加密库

DROWN 漏洞在专门网站DROWN Attack上有描述。 DROWN 代表使用O bsolete 和W eakened e N加密解密R SA，它使易受攻击的网站容易受到中间人攻击。

DROWN 的不同寻常之处在于它不需要网站主动使用 SSLv2 或其他易受攻击的协议。 如果某个站点支持其中一种易受攻击的协议，或者与任何其他允许 SSLv2 连接的服务器共享私钥，那么该站点就很容易受到攻击。

NGINX Open Source 和 NGINX Plus 都支持 SSLv2，但自 NGINX 0.8.19（2009 年 10 月发布）以来，所有版本都默认关闭该功能。 只有明确启用 SSLv2、使用早于 0.8.19 版本的 NGINX 或与允许 SSLv2 连接的其他服务器共享私钥的用户才容易受到此攻击。

网站所有者应检查其网站配置是否支持 SSLv2，如果支持，则禁用它。 使用 NGINX 和 NGINX Plus，SSL 和 TLS 协议的使用由ssl_protocols配置指令控制。 为了仅启用最新的 TLS 并禁用 SSL v2 和 SSL v3，请使用以下语法：

ssl_协议 TLSv1 TLSv1.1 TLSv1.2；

请参阅有关 NGINX 的 SSL/TLS 支持的参考文档。

有关DROWN攻击和NGINX开源的更多信息，请发送电子邮件至nginx@nginx.org 。 您还可以订阅邮件列表。

NGINX Plus用户可以联系 NGINX 支持。

请访问以下网站以了解更多信息：

• OpenSSL.org针对 DROWN 的安全公告
• ZDNet 上对 DROWN 的详细描述
• DROWN Attack专题网站

如果您正在更新 NGINX 配置，或者希望提高安全网站的应用性能，请考虑升级到 HTTP/2。 您可以在我们最近的HTTP/2 博客文章和HTTP/2 白皮书中了解这些好处。

图片由The Drown Attack提供。