Aktuality

10. března 2016

Informace k útoku DROWN

Bezpečnostní analytici nedávno odhalili novou bezpečnostní chybu DROWN. Tato chyba se dá zneužít k napadení šifrované komunikace na webu. Útočník by díky tomu mohl odposlouchávat citlivá data jako např. přístupové údaje, čísla kreditních karet apod. Podle zpráv by se tato zranitelnost dotýkala zhruba třetiny světových serverů.

Proti útoku DROWN se uživatelé sami nemohou bránit, chybu musí opravit provozovatelé serverů. Pokud se používá starý SSLv2 protokol, může útočník dešifrovat obsah HTTPS komunikace. Důležité je proto vypnutí podpory SSLv2.

Schéma útoku DROWN, kde útočník pomocí SSLv2 napadne server a získá data, která použije k dekódování dat přenášených přes TLS

Schéma útoku DROWN, kde útočník pomocí SSLv2 napadne server a získá data, která použije k dekódování dat přenášených přes TLS. | zdroj: drownattack.com


Na webech klientů MEDIA FACTORY používáme novější certifikáty a protokol SSLv2 máme už delší čas vypnutý. Útok DROWN na weby pod naší správou by se tedy nesetkal s úspěchem. Otestovat, je-li konkrétní webová stránka ohrozitelná útokem DROWN, můžete zde.


Sdílejte na síti: