سایر زبان ها

صفحه نخست

سیاسی

بین‌الملل

ورزشی

اجتماعی

اقتصادی

فرهنگی هنری

علمی پزشکی

فیلم و صوت

عکس

استان ها

شهروند خبرنگار

وب‌گردی

سایر بخش‌ها

آسیب‌پذیری DROWN در SSL

میلیون‌ها وب‌گاه امن شده با روش SSL در معرض آسیب‌پذیری DROWN قرار دارند.

به گزارش خبرنگار اخبار داغ گروه فضای مجازی باشگاه خبرنگاران جوان، آسیب‌پذیری جدیدی در وب‌گاه‌های امن شده با SSL شناسایی‌شده است که DROWN نام دارد. DROWN مخفف Decrypting RSA with Obsolete and Weakened eNcryption است.

این آسیب‌پذیری می‌تواند یک‌سوم سرورهای HTTPS را غیرفعال کند. البته برای استفاده از این آسیب‌پذیری هکر باید به شبکه داخلی دسترسی داشته باشد تا بتواند حمله مردمیانی (man in the middle) را پیاده‌سازی کند.

نسخه OpenSSL به شماره 1.0.2 به‌منظور مقابله با حمله هکرها باید به 1.0.2g ارتقاء یابد. اشکالی که هم‌اکنون در سرورهای فعال دنیا وجود دارد، امکان برقراری ارتباط SSLv2 است. هکر می‌تواند ارتباط امن TLS را با کلید خصوصی مشترک با SSLv2، رمزگشایی کند. این آسیب‌پذیری با کد CVE-2016-0800 شناخته می‌شود.
 

به‌منظور پیاده‌سازی حمله هکر به 1000 ارتباط TLS دارد. با داشتن یک سرور قدرتمند مانند Amazon EC2 که حدود 450 دلار قیمت دارد، کلید 2048 بیتی RSA در 8 ساعت شکسته می‌شود. هم‌اکنون 33 درصد ارتباط‌های HTTPS و 22 درصد اعتبارنامه‌های موردقبول مرورگرها آسیب‌پذیر هستند.
 

هم‌چنین اگر ارتباط SSLv2 هر یک از آسیب‌پذیری‌های مطرح از 1998 تا 2015 را داشته باشد، با یک پردازنده مرکزی (CPU) در یک دقیقه می‌توان TLS را رمزگشایی کرد.

منبع: سایبربان

انتهای پیام/
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.