DROWN Attack – Khiến hơn 11 triệu máy chủ HTTPS có khả năng bị tấn công
Sáng nay mình có lướt web (http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html) và thấy có nói đến một lỗ hổng mới được phát hiện trong OpenSSL có ảnh hưởng tới hơn 11 triệu web hiện tại và các dịch vụ email sử dụng SSLv2.
DROWN Attack là gì?
DROWN viết tắt của “Decrypting RSA with Obsolete and Weakened eNcryption”. Đây là một cuộc tấn công cross-protocol sử dụng những điểm yếu trong việc thưc hiện SSLv2. Các phiên bản mới nhất mặc định không cho phép các kết nối SSLv2 nhưng các quản trị đôi khi vẫn thiết lập nên để tối ưu hóa các ứng dụng.
Cách thức tấn công như thế nào?
Lỗ hổng này ảnh hướng tới 11,5 triệu máy chủ trên toàn thế giới như Alexa, Yahoo, Alibaba, Weibo, Flickr, 4Shared, Samsung, …
Làm thế nào để bảo vệ máy chủ của mình?
Nếu đang sử dụng OpenSSL 1.0.2 thì nấng cấp lên OpenSSL 1.0.2g. Nếu sử dụng OpenSSL 1.0.1 thì nâng cấp lên 1.0.1s OpenSSL và đối với các phiên bản khác cũng nên nâng cấp lên 1.0.1g hoặc 1.0.1s.
Bạn cũng nên đảm bảo là SSLv2 đã được vô hiệu hóa và các key private không chia sẻ trên bất kỳ máy chủ khác.
Mọi người cũng có thể tìm hiểu chi tiết kỹ thuật và danh sách các web dễ bị tấn công nhất trên website https://drownattack.com/
Ae cùng thảo luận xem ai đã bị dính lỗ hổng này nhé
DROWN Attack là gì?
DROWN viết tắt của “Decrypting RSA with Obsolete and Weakened eNcryption”. Đây là một cuộc tấn công cross-protocol sử dụng những điểm yếu trong việc thưc hiện SSLv2. Các phiên bản mới nhất mặc định không cho phép các kết nối SSLv2 nhưng các quản trị đôi khi vẫn thiết lập nên để tối ưu hóa các ứng dụng.
Cách thức tấn công như thế nào?
Lỗ hổng này ảnh hướng tới 11,5 triệu máy chủ trên toàn thế giới như Alexa, Yahoo, Alibaba, Weibo, Flickr, 4Shared, Samsung, …
Làm thế nào để bảo vệ máy chủ của mình?
Nếu đang sử dụng OpenSSL 1.0.2 thì nấng cấp lên OpenSSL 1.0.2g. Nếu sử dụng OpenSSL 1.0.1 thì nâng cấp lên 1.0.1s OpenSSL và đối với các phiên bản khác cũng nên nâng cấp lên 1.0.1g hoặc 1.0.1s.
Bạn cũng nên đảm bảo là SSLv2 đã được vô hiệu hóa và các key private không chia sẻ trên bất kỳ máy chủ khác.
Mọi người cũng có thể tìm hiểu chi tiết kỹ thuật và danh sách các web dễ bị tấn công nhất trên website https://drownattack.com/
Ae cùng thảo luận xem ai đã bị dính lỗ hổng này nhé