1 марта 2016 года в сети появилась информация о новой уязвимости в OpenSSL под названием DROWN
Уязвимость позволяет провести Man-In-The-Middle на сайты, которые используют SSLv2.
По некоторым данным, уязвимости подвержены порядка 33% серверов использующих HTTPS, в том числе сайты таких крупных компаний, как Yahoo, Alibaba, Weibo, Buzzfeed, weather.com, Flickr и Samsung.
При этом уязвимость достаточно легко эксплуатировать, для расшифровки HTTPS трафика достаточно отправить специально сформированный пакет на сервер.
Поскольку массовую огласку уязвимость получила в момент публикации обновления для OpenSSL, патч уже опубликован, но на данный момент рекомендуется отказаться от использования SSLv2.
К счастью, в отличии от Heartbleed, DROWN не позволяет получить приватный ключ с сервера, поэтому для того, чтобы обезопасить свой сервер достаточно просто перестать использовать SSLv2.
На момент публикации статьи найти какой нибудь эксплоит, демонстрирующий работу уязвимости не удалось, но есть сайт drownattack.com который позволяет проверить, уязвим ли ваш сайт.
Напомню, что Heartbleed это уязвимость в OpenSSL опубликованная в апреле 2014 года, которая позволяла несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Подробнее можно прочитать в данной стате.
ссылка на оригинал статьи https://habrahabr.ru/post/278301/
Добавить комментарий