Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 1/3/2016
Sårbarheden DROWN findes i webservere, der har SSL v2 aktiveret. OpenSSL har lukket sikkerhedshullet, der gør det muligt at dekryptere kodet kommunikation.Hvis en angriber opsnapper krypteret kommunikation mellem en server og en klient, kan vedkommende dekryptere kommunikationen. Det kan lade sig gøre, hvis den gamle version 2 af SSL (Secure Sockets Layer) er aktiveret på serveren.
Som regel bruger webservere det samme certifikat til flere versioner af krypteringsalgoritmer. Så selvom al kommunikation foregår over den nyeste TLS (Transport Layer Security), kan krypteringen knækkes via hullet i SSL v2.
Sikkerhedsforskerne, der opdagede sikkerhedshullet, kalder det DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
OpenSSL har to sårbarheder relateret til DROWN. De er i dag blevet lukket med OpenSSL version 1.0.2g og 1.0.1s.
Det kræver en del computerkraft at udnytte DROWN til at knække krypteringen. Krypteringsekspert Matthew Green anslår, at det kan gøres på nogle timer på et cloudsystem for en pris på 440 dollars.
Forskerne har også fundet en variant af angrebet, der er enklere at udføre. Her kan krypteringen knækkes på et minut.
De anslår, at over 3,5 millioner servere med HTTPS (Hypertext Transfer Protocol Secure) er sårbare over for DROWN. 2,3 millioner er sårbare over for den nemme udgave af angrebet.
Anbefaling
Slå SSL v2 fra på servere. Opdater OpenSSL til en rettet version.