Lỗ Hổng Drown

  -  

Một lỗ hổng new được phát hiện trong OpenSSL ảnh hưởng đến hơn 11 triệu website và những dịch vụ thư điện tử đang được bảo đảm bởi chuẩn kết nối Secure Sockets Layer (SSLv2).

Bạn đang xem: Lỗ hổng drown

Lỗ hổng cực kỳ nguy hiểm new được phát hiện tại trong OpenSSL mang tên DROWN. Nó rất có thể được khai thác để triển khai một cuộc tấn công giải mã dữ liệu nhạy cảm, can thiệp liên kết HTTPS bảo mật bao hàm mật khẩu và tin tức thẻ thanh toán. Cuộc tấn công có thể thành công trong vài giờ hoặc thậm chí là ngay lập tức, đội ngũ tất cả 15 chuyên viên bảo mật đến từ những trường đh và xã hội công nghệ thông tin cảnh báo lỗ hổng vào thứ cha tuần này.

Tấn công DROWN là gì? – Lỗ hổng OpenSSL

DROWN là viết tắt của“Decrypting RSA with Obsolete and Weakened eNcryption.” (giải mã RSA với mã hóa cũ cùng yếu). DROWN là 1 trong những cuộc tiến công đa giao thức sử dụng điểm yếu kém trong setup SSLv2 đối vớitransport layer security (TLS) và rất có thể giải mã phiên thao tác làm việc TLS tích lũy được từ bỏ phía client.

Mặc định trong phiên bản mới độc nhất không có thể chấp nhận được kết nối SSLv2, quản ngại trị viên nhiều lúc sử dụng thiết lập này nhằm mục đích tối ưu hóa ứng dụng. DROWN cho phép tin tặc lời giải kết nối HTTPS bằng cách gửi một gói tin ô nhiễm và độc hại đến thứ chủ. Hoặc nếu chứng chỉ của dòng sản phẩm chủ kia dùng chung với sever khác, tin tặc có thể thực hiện thành công tấn côngMan-in-the-Middle (MitM).


*
*

Hơn 33% các máy chủ HTTPS đều sở hữu nguy cơ ảnh hưởng bởi tiến công DROWN. Xê dịch 11 triệu sever trên toàn cố gắng giới, bao hàm các website số 1 nhưYahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared vàSamsung thuận tiện bị tấn côngDROWN MitM.

Xem thêm: Dàn Sao "Bước Nhảy Xì Tin" Sau 10 Năm: Kẻ Thị Phi Bủa Vây, Người Yên Bề Gia Thất

Bên cạnh phần mềm mã nguồn mở OpenSSL,Internet Information Services (IIS) phiên bản7 của Microsoft với thư viện mã hóaNetwork Security Services (NSS) cùng những phiên bạn dạng cũ hơn, được tích hợp vào không ít sản phẩm sản phẩm chủ cũng có nguy cơ bị tấn công DROWN.

Việc khai quật lỗ hổng DROWN hoàn toàn có thể được thực hiện trong vài ba phút và tin tặc đã sở hữu trong tay cụ thể về lỗ hổng.

Tin giỏi là các nhà nghiên cứu đã vạc hiện và phát hành bản vá ngay lập tức lập tức.Ngoài ra các quản trị website hoàn toàn có thể kiểm tra việc tồn trên lỗ hổng website bản thân tại đây.

Cách đảm bảo máy chủ:

Người sử dụng OpenSSL 1.0.2 được khuyến nghị nâng cấp cho lên OpenSSL 1.0.2g.Người cần sử dụng OpenSSL 1.0.1 được đề xuất nâng cấp cho lên OpenSSL 1.0.1s.

Xem thêm: Cà Phê Rang Tẩm Bơ Tẩm Cà Phê Với Bơ, Kỹ Thuật Rang Cà Phê

Đảm bảo vô hiệu hóa SSLv2 với không sử dụng chung khóa riêng biệt tư với nhiều máy công ty khác nhau. Bạn có thể truy cập vào websiteDROWN Attackhoặc blog của chuyên viên mã hóaMatthew Green nhằm có chi tiết kĩ thuật về lỗ hổng.