nixp.ru v3.0

22 декабря 2024,
воскресенье,
04:59:41 MSK

5 марта 2016, 08:24

В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800)

DROWN дословно переводится как «утонувший»
DROWN дословно переводится как «утонувший»
Иллюстрация с сайта Indiatvnews.Com

1 марта из почтовой рассылки OpenSSL стало известно об очередной опасной уязвимости в SSL/TLS — CVE-2016-0800 под кодовым названием DROWN.

Проблема, охарактеризованная как «межпротокольная атака на TLS с использованием SSLv2», получила высокий статус критичности и была устранена в релизах OpenSSL 1.0.2g и 1.0.1s. Уязвимость затрагивает все реализации второй версии SSL, который считается устаревшим, однако по-прежнему повсеместно используется, в том числе в сегменте веб-ресурсов (HTTPS). DROWN воспроизводится для серверов с поддержкой SSLv2 и шифрами EXPORT, позволяя узнать ключ RSA.

Разработчики OpenSSL узнали об уязвимости DROWN ещё 29 декабря 2015 от Нимрода Авирама (Nimrod Aviram) и Себастьяна Шинцеля (Sebastian Schinzel). Всем пользователям OpenSSL 1.0.2 и 1.0.1 рекомендуется срочно обновиться до последних версий продукта.

Постоянная ссылка к новости: http://www.nixp.ru/news/13692.html. Дмитрий Шурупов по материалам mta.openssl.org Mailing Lists.

fb twitter vk
visualtech

В ALT Linux видимо уже исправлено… На момент выхода статьи обнаружил у ALT OpenSSL 1.0.1s, который задействовал для почты…

philosoft
Себастьяна Шницеля (Sebastian Schinzel)

Он всё-таки Шинцель, а не шницель))

Дмитрий Шурупов

:D Спасибо, исправил.