2020年XNUMX月安全摘要

SSL.com祝我们所有的客户和访客一个快乐,安全,健康的假期,并祝2021年繁荣! 我们希望新的一年会少一点,嗯。。。 有趣 某种程度上说,比2020年要好得多,但我们可以肯定,如果没有来自网络安全,数字证书和 PKI.

OpenSSL DoS漏洞

我们在 博客文章 本月初,但值得重复。 严重程度高的漏洞 OpenSSL的 被发现会影响1.0.2i之前的所有版本的OpenSSL 1.1.1和1.1.1。 可以利用此漏洞来创建拒绝服务(DoS)攻击。 OpenSSL 1.1.1i于8年2020月XNUMX日发布,包含修复程序。

OpenSSL用户应尽快更新其安装。 有两种方法可以应用此修复程序:

  • OpenSSL 1.1.1的用户和不受支持的1.0.2用户应升级到1.1.1i。
  • OpenSSL 1.0.2的高级支持客户应升级到1.0.2x。

目前,大多数HTTPS Web服务器上都已安装OpenSSL。 您可以在SSL.com的网站上了解有关该漏洞的更多信息 新闻,并在OpenSSL Project的 安全咨询.

SSL.com的要点: 如果您是OpenSSL用户,但尚未完成此操作,请阅读OpenSSL的 咨询 了解该漏洞并尽快更新您的安装。

Cloudflare倡导新的隐私协议

蒂姆·安德森 报道 在The Register中,Cloudflare“正在推动采用新的互联网协议,它说将启用“尊重隐私的互联网”。”这些协议包括增强隐私的协议 通过HTTPS的DNS(DoH),为 TLS 握手,并改进了处理用户密码的安全性。

遗忘的卫生部

通过HTTPS的DNS(DoH) 通过对DNS查询和响应进行加密来解决Internet隐私中的薄弱环节,这些查询和响应过去一直以明文形式发送。 遗忘的DoH(ODoH)  通过阻止DoH服务器知道客户端的IP地址,使DNS隐私保护更进一步:

ODoH的实质是它在客户端和DoH服务器之间引入了网络代理。 代理对DNS查询没有可见性,只能由DoH服务器读取。 服务器不了解客户端的IP地址。 该查询是私有的,前提是代理和服务器不合并。

Cloudflare已经宣布支持ODoH,该ODoH由Cloudflare,Apple和Fastly的工程师开发。 您可以通过签出了解更多信息 他们的论文 在arxiv.org。

加密的客户端Hello(ECH)

加密的客户端Hello(ECH) 提供增强的握手加密 TLS,超越 加密的SNI(ESNI),它仅保护服务器中的服务器名称指示(SNI) TLS 握手。 Cloudflare研究工程师Christopher Patton 写入,

尽管ESNI向前迈出了重要的一步,但仍未达到我们实现完整握手加密的目标。 除了不完整之外-仅保护SNI-容易受到攻击 少数复杂的攻击尽管很难实现,但指出了该协议设计中的理论缺陷,需要解决。
...
最终,ECH的目标是确保 TLS 与同一ECH服务提供商后面的不同原始服务器建立的连接彼此之间是无法区分的。

毫不奇怪,由于ECH“仅与DoH并在CDN(内容分发网络)的背景下才有意义”,因此Cloudflare“将自己视为可能的ECH提供商。” 您可以在IETF的网站上阅读有关ECH的更多信息。 提案草案.

不透明密码

OPAQUE密码是“一种完全不了解的伪随机函数(OPRF)与密码验证密钥交换(PAKE)结合使用的双关语”,是一种完全避免将用户密码传输到服务器的机制。 OPAQUE通过“让服务器和客户端共同计算加盐的哈希值以使用中间第二盐进行比较来实现此目的。” 这样可以确保服务器在身份验证期间无法学习用户的密码,并且用户也不会学习服务器的秘密盐。”

您可以在中找到有关OPAQUE密码的更多信息 这张纸 [PDF链接]由加利福尼亚大学欧文分校和IBM的研究人员以及Cloudflare工程师Tatiana Bradley的 博客文章.

SSL.com的要点: 我们总是很高兴了解新的网络安全协议,尤其是与它们有关的 PKI 和数字证书。 我们将为您提供有关这些以及其他在安全性和隐私方面取得的进步的更多信息。

泄露的FTP凭证可能与SolarWinds攻击有关

除非您在过去的几周里一直在偏僻的,离网的机舱里度过(现在考虑到这并不是一个坏主意),否则您可能已经听说了很多有关 供应链攻击 这损害了SolarWinds的Orion IT监控软件及其在政府和行业中的许多用户。 拉维·拉什曼(Ravie Lakshmanan)16月XNUMX日 故事 《黑客新闻》中的文章讨论了攻击者如何“最早在2019年XNUMX月设法妥协SolarWinds Orion平台的软件构建和代码签名基础结构,以通过其软件发布过程提供恶意后门。”

想法……是要破坏构建系统,在软件的源代码中悄悄地注入他们自己的代码,等待公司进行编译,对软件包进行签名,最后验证是否对它们的修改能按预期出现在新发布的更新中。

2019年XNUMX月的时间表与安全研究员Vinoth Kumer的一致 发现,在2019年123月,一个公开的GitHub存储库泄露了Solarwinds更新服务器的纯文本FTP凭据,并且可以使用密码“ solarwinds17”访问该服务器。 自2018年XNUMX月XNUMX日起,该回购已向公众开放,使潜在的攻击者有足够的时间来发现和利用泄漏的凭证。

当然,SolarWinds也建议用户禁用安全措施并没有帮助:

更糟糕的是,由于SolarWinds自身的原因,目标系统上的防病毒软件和其他安全工具可能没有注意到添加到Orion软件更新中的恶意代码。 支持咨询,这表明其产品可能无法正常工作,除非其文件目录不受防病毒扫描和组策略对象(GPO)限制。

SSL.com的要点: 代码签名 是向客户分发软件时保持信任的重要步骤,甚至是必不可少的步骤,但这取决于成功的安全环境。 使用脆弱的,容易被猜到的密码保护关键服务器,和/或无意中向公众公开纯文本凭据,这为利用构建系统发布已签名但尚未特洛伊木马的软件的攻击打开了大门。

订阅SSL.com的新闻通讯

不要错过SSL.com上的新文章和更新

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。