Нова уразливість загрожує мільйонам HTTPS сайтів

размещено в: Новости | 0
Нова уразливість загрожує мільйонам HTTPS сайтів
0 голосов, 0.00 общий. рейтинг (0% сумма)

Популярний пакет OpenSSL з відкритим вихідним кодом, що використовується для шифрування комунікацій між серверами і браузерами, виявився підданий новому типі атак. Уразливість, яка отримала назву DROWN, ставить під загрозу безпеку мільйонів сайтів, що забезпечують передачу даних по зашифрованому HTTPS.

Читайте також: Популярні додатки для Mac виявилися вразливими для “прослушки”

Скориставшись “дірою” в криптографічному протоколі SSLv2, зловмисники можуть перехопити і розшифрувати інтернет-трафік, отримавши доступ до паролів і номерів кредитних карт. SSLv2 використовується на серверах найбільших IT-компаній, таких як Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr і Samsung.

SSLv2, що з’явилася ще в 90-х, — це застаріла версія захищеного протоколу OpenSSL, яка може включатися автоматично при настройці нового веб-сервера. Щоб захиститися від DROWN-атаки, системним адміністраторам рекомендується негайно відключити SSLv2 і встановити “латку” або налаштувати фаєрвол для фільтрації SSLv2-трафіку і упевнитися, що секретний ключ не розділяють кілька серверів.

Читайте також: Понад 300 000 серверів не усунули дефект Heartbleed

За оцінкою сайту Ars Technica, атаці DROWN схильні 11 мільйонів сайтів і поштових служб, які використовують HTTPS-з’єднання. А з мільйона найпопулярніших ресурсів Мережі таких налічується 81 тисяча.

Джерело: Ars Technica

Оставить ответ