DROWN (CVE-2016-0800) är en ny attack som påverkar HTTPS och andra tjänster som använder sig av SSL/TLS. Attackscenariot utgår från att flera servrar delar på samma privata krypteringsnyckel för tjänster som använder sig av SSL/TLS. Om minst en av dessa servrar fortfarande stödjer SSLv2 så kan den gemensamma krypteringsnyckeln, genom repeterade handskakningar, extraheras av en angripare som använder sig av SSLv2. Detta innebär att även TLS-trafiken från de servrar som är korrekt konfigurerade är sårbara. Man uppskattar att ca 33% av alla HTTPS-webbsidor är sårbara mot DROWN.
Mer information om attacken hittas på https://drownattack.com/
Certezza rekommenderar starkt att allt SSLv2-stöd för ens samtliga servrar som använder SSL/TLS inaktiveras.
För mer information kontakta Certezza Support på:
Telefon: 08-791 92 00
E-post: support@certezza.net
Christofer Ericson
