DROWN - Faille de sécurité exploitant le protocole SSLv2
DROWN est une attaque de type MitM (Man in the Middle) récemment publiée basée sur des principes similaires à l'attaque de Bleichenbacher (découverte en 1998) et visant les protocoles basés sur SSL/TLS. Cela permet à l'attaquant de casser le chiffrement du serveur et donc d'intercepter des communications client-serveur en exploitant la gestion SSLv2 activée sur le serveur.Qui est concerné ?
Cela touche tout serveur permettant l'utilisation du protocole SSLv2, y compris si les ciphers (algorithmes de chiffrement) vulnérables sont désactivés. Cela touche tout protocole utilisant SSL/TLS. L'exploitation de cette vulnérabilité permettant l'accès à la clé privée de chiffrement, un serveur correctement configuré ré-utilisant une clé installée sur un serveur vulnérable serait également accessible.Par ailleurs, les version d'Openssl inférieures à 1.0.1f et à 1.0.2g sont particulièrement vulnérables à cause d'un bug permettant l'utilisation de ciphers plus faibles non activés en conjonction avec l'attaque DROWN. Cela permet d'exploiter la vulnérabilité en minutes, à l'aide de matériel grand public.
Comment se protéger ?
La seule solution est de désactiver le protocole SSLv2.Pour les utilisateurs d'openssl, une migration vers les version 1.0.1f ou 1.0.2g est également fortement recommandée.
Liens utiles
- Poodle : une faille de sécurité touchant le protocole SSLv3
- Desactiver SSLv2 et SSLv3 sous IIS
- Desactiver SSLv2 et SSLv3 sous IIS8.5
- Desactiver SSLv2 et SSLv3 sous Apache
- Desactiver SSLv2 et SSLv3 sur Tomcat
- Installer un certificat pour Nginx (contient la procédure de désactivation de SSL2)
- Testez vos sites avec CopiBot
Dernière modification le 02/03/2016 10:27:58 --- [Chercher]