Protokolo SSLv2 saugumo spraga |
 Lietuvos Respublikos ryšių reguliavimo tarnybos nacionalinis elektroninių ryšių tinklų ir informacijos saugumo incidentų tyrimo padalinys (CERT-LT) įspėja apie pavojingą protokolo „SSLv2“ spragą.Spraga gavo žymą СVE-2016-0800, o ataka, išnaudojanti šią spragą, buvo pavadinta „DROWN“. Yra pažeidžiami maždaug 33 proc. visų interneto svetainių, pasiekiamų per HTTPS protokolą. Tarp milijono labiausiai lankomų svetainių pažeidžiama yra kas ketvirta. Pvz., pažeidžiami tokie žinomi portalai kaip yahoo.com, alibaba.com, flickr.com, delfi.ee. Spraga leidžia piktavaliams vykdyti „man-in-the-middle“ tipo ataką. Bendru atveju ataka yra sudėtinga ir reikalauja maždaug kvadrilijono skaičiavimo operacijų. Tačiau piktavaliai gali įvykdyti ataką per kelias minutes, jei tarnybinėje stotyje naudojamos šios „OpenSSL“ versijos: 1.0.2a, 1.0.1m, 1.0.0r ir 0.9.8zf. CERT-LT atkreipia dėmesį, kad: 1) Jau išleisti „OpenSSL“ bibliotekos atnaujinimai 1.0.1s 1.0.2g, kurie pašalina minėtą spragą. 2) Programinės įrangos paketai „LibreSSL“, „GnuTLS“ ir „NSS“ nėra paveikiami minėtos spragos, nes jie nepalaiko protokolo „SSLv2“. CERT-LT rekomenduoja: 1) Patikrinti savo interneto svetainę, naudojančią HTTPS priegą, adresu https://test.drownattack.com/. Tikrinti svetainės, neturinčios HTTPS palaikymo, nėra prasmės. 2) Jei svetainė pažeidžiama, tarnybinėje stotyje reikia atnaujinti programinę įrangą ir išjungti protokolo „SSLv2“ palaikymą programose „Apache“, „Postfix“, „nginx“. Daugiau informacijos: 1) https://n0where.net/awesome-windows-exploitation-resources/ (anglų kalba) 2) https://mta.openssl.org/pipermail/openssl-announce/2016-March/000066.html (anglų kalba) 3) Pažeidžiamų programų konfigūravimas (anglų kalba): https://drownattack.com/apache.html https://drownattack.com/postfix.html https://drownattack.com/nginx.html Informacijos šaltinis www.cert.lt |
 |