影響範囲の広い脆弱性CVE-2016-800(DROWN)の情報です。


DROWN: Breaking TLS using SSLv2.pdf PDFファイル
https://drownattack.com/drown-attack-paper.pdf

DROWN Attack
https://drownattack.com/

OpenSSL Blogの該当記事(英語)
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

脆弱性の概要

HTTPSサーバーがSSLv2で接続可能な場合や、SSLv2で接続できる他のサーバーで同じ秘密鍵を使い回している場合に、クロスプロトコル攻撃を仕掛けることでTLSを復号化され、通信を傍受される可能性があるというもの

SSLv2自体は1990年代の技術であり現在では使用されていないが、多くのサーバーでTLSに移行したにもかかわらず、設定ミスでSSLv2を未だにサポートしている

http://internet.watch.impress.co.jp/docs/news/20160302_746371.html

攻撃の影響としては秘匿された通信内容が盗聴される恐れがあるというものです。

攻撃前提条件

  • SSLv2がサーバ側で利用可能な状態である
  • 中間攻撃が可能な環境に接続している

対応方法

OpenSSL

修正パッチ「1.0.1s」「1.0.2.g」を当ててください。

Network Security Services

バージョン 3.13以降にアップデートしてください。

Microsoft Internet Information Services(IIS)

バージョン7以降にアップデートしてください。


関連・参考記事

SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明
http://gigazine.net/news/20160302-drown-attack/

全HTTPSサイトの33%でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布
http://internet.watch.impress.co.jp/docs/news/20160302_746371.html

OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた
http://d.hatena.ne.jp/Kango/20160301/1456849603


スポンサーリンク
ad_336
ad_336
  • このエントリーをはてなブックマークに追加
  • Evernoteに保存Evernoteに保存
スポンサーリンク
ad_336