数百万のOpenSSLが新しいDROWN攻撃の危険にさらされているWebサイトを保護しました

最近発見されたOpenSSLのセキュリティホールは、古くから廃止されているセキュリティプロトコルであるSecure Sockets Layer(SSLv2)を使用して最新のWebサイトを攻撃することを可能にします。

DROWN(Obsolete and Weakened eNcryptionを使用したRSAの復号化)と呼ばれるこれを利用した攻撃は、すべてのHTTPSサーバの少なくとも3分の1を殺すことができると推定されています。

この欠陥を発見した研究者によると、これは1150万台にも及ぶ可能性があるという。

DROWNは本当に悪いですか? Alexaの主要Webサイトには、Yahoo、Sina、AlibabaなどのDROWNベースのman-in-the-middle攻撃に対する脆弱性があります。

その人気のおかげで、オープンソースのOpenSSLはDROWNingの最も明白なターゲットですが、それだけではありません。

廃止されたMicrosoftインターネットインフォメーションサービス(IIS)バージョン7以前は脆弱です。また、2012年の3.13バージョンより前の多くのサーバー製品に組み込まれている一般的な暗号化ライブラリであるNetwork Security Services(NSS)のエディションも攻撃可能です。

DROWN攻撃テストサイトを使用して、あなたのサイトが脆弱であるかどうかを調べることができます。

いずれにしても、OpenSSLをセキュリティのために使用し、多くの場合、OpenSSL 1.0.2ユーザーは1.0.2gにアップグレードする必要があります。 OpenSSL 1.0.1ユーザーは1.0.1にアップグレードする必要があります。別のバージョンを使用している場合は、1.0.2gまたは1.0.1まで移動してください。

ransomware攻撃のコスト:今年は10億ドル、ChromeはHTTP接続を安全ではないとラベル付け開始、Hyperledgerプロジェクトはギャングバスターのように成長している;今、あなたはその道で何かを破壊するUSB​​スティックを買うことができる

他のプログラムでは、ISSやNSSの新しいバージョンにアップグレードする必要がありました。もしあなたがいなければ、あなたに恥をかく – 今やってください。

DROWNについての「良い」ニュースは、それが学術研究者によって明らかにされたことである。悪いニュースは、脆弱性が知られているので、ハッカーがすぐにサーバーを攻撃する可能性があることを確かめることができるということです。

研究者によると

SSLv2は、20年以上安全でないことが知られているが、そのような重要な攻撃経路になる可能性があるのだろうか。研究者は、「SSLv2を正当なクライアントが使用していなくても許可するだけで、現代のサーバーやクライアントにとって脅威になる」と述べています。

重要なOpenSSLパッチが来る;パッチLinuxは現在、Google、Red Hatは重要なglibcバグを警告し、NCC GroupはセキュリティホールのためにOpenSSLを監査する

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

「これにより、攻撃者は、同じ秘密鍵を使用してSSLv2をサポートする任意のサーバーにプローブを送信することにより、最新のクライアントとサーバー間の最新のTLS接続を解読することができます。

Qualysのエンジニアリングディレクター、Qualys SSL Labsの責任者であるIvan Ristic氏は、

実際、脆弱なサーバーと同じネットワーク上にあるという理由だけで、「安全な」サーバーにクラックされる可能性もあります。 Bleichenbacher攻撃を使用すると、秘密のRSA鍵を復号化することができます。これらは、同じ秘密鍵を使用する「安全な」サーバーのロックを解除するために使用できます。

パッチ適用の作業を開始してください。

ソースコードとして入手可能なOpenSSLパッチの他に、Canonical、Red Hat、SUSE Linuxを含む他の企業も、まもなくパッチを提供します。

 物語

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン