آسیب پذیری DROWN

نوشته : -

ایجاد در : دوشنبه ۰۸ بهمن ۹۷ ۰۵:۵۳ مجموعه : مقالات امتیاز : 3 بازدید : 1320

آسیب‌پذیری جدیدی در وب سايت های امن شده با SSL شناسایی ‌شده است که DROWN نام دارد.

آسیب‌پذیری جدیدی در وب سايت های امن شده با SSL شناسایی ‌شده است که DROWN نام دارد.
پژوهشگران امنیتی اعلام کرده‌اند: اگر گواهينامه سایت شما یا کلید آن بر روی وب سروری که از پروتکل SSLv2 پشتیبانی کند وجود داشته باشد یا بر روی سرویس‌های دیگری مانند ميل سرور که از پروتکل SSLv2 پشتيبانی کنند، شما در معرض خطر قرار دارید.

اشکالی که هم‌اکنون در سرورهای فعال دنیا وجود دارد، امکان برقراری ارتباط SSLv2 است. هکرها می‌توانند ارتباط امن TLS را با کلید خصوصی مشترک با SSLv2، رمزگشایی کنند. این آسیب‌پذیری با کد CVE-2016-0800 شناخته می‌شود، این آسیب‌پذیری می‌تواند یک‌سوم سرورهای HTTPS را غیرفعال کند.

جهت محافظت سرور از اين آسیب پذیری، ميبایست :
1- از غیر فعال بودن پروتکل SSLv2 بر روی سرور خود اطمينان حاصل نمائيد.
2- در صورتی که کليد خصوصی گواهينامه شما بر روی سرورهای ديگری نیز نصب ميباشد، از غیر فعال بودن پروتکل SSLv2 بر روی آنها نیز اطمينان حاصل نمائيد.
3- در صورت استفاده از OpenSSL ميبایست نسخه OpenSSL شماره 1.0.2 به 1.0.2g ارتقاء یابد. 
4- با توجه به فعال بودن پیش فرض پروتکل SSLv2 بر روی ويندوز سرورهای قدیمی (Windows Vista, Windows Server 2008, Windows 7 and Windows Server 2008R2)، اين پروتکل ميبایست غیر فعال گردد.