The Drownattack

drown1

Zranitelnost se tyka mozneho odposlechu sifrovane TLS komunikace pomoci stareho protokolu SSLv2. Sifrovanou TLS komunikaci vyuzivaji bezne sluzby – napr. Web.stranky s “https” , email, e-shopy a dalsi. Odhaduje se ze  az 11 Milionu Webovych stranek je zranitelnych.

Common Vulnerabilities and Exposures (CVE) –  CVE-2016-0800

Ohrozene jsou webove servry kde je stale take zapnuty stary protokol SSLv2. Bohuzel utok na webovy server se da provest i pres jiny zranitelny server ktery stale vyuziva SSLv2 a pouziva stejny privatni klic. Vice obrazek
DROWN_diagram
Otestovat webovou doménu:
https://test.drownattack.com/
Jsou zde zaznemanane zranitelne stranky z Unora 2016 nikoliv novejsi!

Autor nenese zodpovednost za validitu provedenych testu
Otestovani pritomnost protokolu SSLv2.0 na webovem servru muzete pomoci TestSSLServer:
1. Stahnete si tool TestSSLServer.exe ze stranek http://www.bolet.org/TestSSLServer/
2. Otestujte server “TestSSLServer servername [ port ]”
priklad vzaleneho servru ktery podporuje SSLv2:

drown4
J
e nutne mit spojeni pres port 443.

Zakazani SSLv2.0 pro Windows IIS
Microsoft Internet Information Server 3.0
Microsoft Internet Information Services 5.1
Microsoft Internet Information Services 6.0
Microsoft Internet Information Services 7.0
https://support.microsoft.com/en-us/kb/187498

Dalsi postupy pro OpenSSL, Network Security Services (NSS) a dalsi:
https://drownattack.com/

Zdroj (Source):
https://drownattack.com/
http://www.root.cz/clanky/postrehy-z-bezpecnosti-ssl-chyba-mezi-zidli-a-klavesnici/
http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.