CVE-2016-0800: Уязвимость в SSLv2

Создана:

2016-11-16 13:00:46 UTC

Изменена:

2017-08-16 15:56:47 UTC

0

Помогла ли вам статья?


Есть вопросы?

Отправить запрос

CVE-2016-0800: Уязвимость в SSLv2

Applicable to:

  • Plesk for Linux
  • Plesk 12.5 for Windows

Ситуация

1 марта 2016 г. было объявлено об уязвимости в OpenSSL. Подробную информацию об уязвимости CVE-2016-0800 можно найти на сайте  Open SSL.

Эта уязвимость известна как DROWN (CVE-2016-0800).

Последствия

Была обнаружена кросс-протокольная уязвимость, которая могла привести к дешифрованию сессий TLS с использованием сервера с поддержкой SSLv2 и экспортных комплектов шифров, например, атака методом вычислений с оракулом на набивку RSA, описанная Блейхенбахером. Внимания заслуживает то, что трафик между клиентами и неуязвимыми серверами может быть дешифрован, в случае если другой сервер с поддержкой SSLv2 и экспортных шифров (даже с другим протоколом, например, SMTP, IMAP или POP) использует те же RSA-ключи, что и неуязвимые серверы.

Существует более эффективный вариант атаки DROWN на серверы с неисправленным OpenSSL, которые используют версии, предшествующие 1.0.2a, 1.0.1m, 1.0.0r и 0.9.8zf.

Все службы под управлением Plesk, кроме qmail и автоустановщика, настроены по умолчанию не использовать SSLv2 (и SSLv3) начиная с Plesk 12.5.

Факторы защиты:

  • Соединения SSL/TLS, использующие обмен не-RSA ключами, например, протокол Диффи-Хеллмана (DH) или протокол Диффи-Хеллмана на эллиптических кривых (ECDH), не могут быть дешифрованы при помощи атаки DROWN.

  • Современные клиенты SSL/TLS поддерживают ECDH и DH.
    Все службы под управлением Plesk, кроме qmail и автоустановщика, настроены по умолчанию предпочитать ECDH и DH.

Источники дополнительной информации:

Дальнейшие действия

Поставщики операционных систем уже выпустили соответствующие обновления. Пожалуйста, обновите свою ОС стандартным способом:

RedHat/CentOS

Debian

Ubuntu

Мы очень серьезно относимся к безопасности своих клиентов и рекомендуем вам как можно скорее принять предложенные меры.

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос
Войдите в службу, чтобы оставить комментарий.