Kritična ranjivost u OpenSSL-u pogađa preko 11 miliona veb servera

Nova ranjivost u OpenSSL-u pogađa trećinu  HTTPS servera, kao i mnoge klijente za email i VPN.

Ranjivost nazvana DROWN (Decrypting RSA with Obsolete and Weakened eNcryption, eng. Dekriptovanje RSA sa zastarjelom i oslabljenom enkripcijom), omogućava napadačima da za malo novca i u roku od par sati razbiju enkriptovanu komunikaciju.  

DROWN je tipičan cross protocol napad, ranjivosti u jednom protokolu koriste da bi se napao drugi. Ranjivost u TLS je posljedica ranjivosti u SSL2 ( prethodniku TLS-a)  i američke politike o izvozu kriptografskih proizvoda.  

Tokom devedesetih američka vlada je kriptografske algoritme smatrala vojnom tehnologijom, te su ograničavali izvoz iste. Pored toga u sve kriptografske algoritme koje su izvozili su ugrađivali ranjivost koju tada nisu mogli eksploatisati obični napadači, ali su agencije kao što je NSA imale tehničke mogućnosti da razbiju enkripciju. Problem je što u današnje vrijeme bilo ko može iznajmiti procesorsku moć dovoljnu da eksploatiše ovu ranjivost. 

Iako nove verzije SSL TLS-a ne podržavaju ove tzv. izvozne algoritme, mnogo server i dalje koristi zastarjele verzije.  

Preporučujemo vam :  

• Da ažurirate svoj OpenSSL na 1.0.2g i 1.0.1s verzije. 

• Zabranite tzv. izvozne algoritme na svojim serverima 

• Zabranite SSL2 na svojim serverima. 

Više informacija možete saznati na : 

• nakedsecurity.sophos.com

• threatpost.com

• thehackernews.com

• kb.cert.org