آسیبپذیری DROWN در SSL
میلیونها وبگاه امن شده با روش SSL در معرض آسیبپذیری DROWN قرار دارند.
به گزارش خبرنگار اخبار
داغ گروه
فضای مجازی باشگاه خبرنگاران جوان، آسیبپذیری جدیدی در وبگاههای امن شده با SSL شناساییشده است که DROWN نام دارد. DROWN مخفف Decrypting RSA with Obsolete and Weakened eNcryption است.
این آسیبپذیری میتواند یکسوم سرورهای HTTPS را غیرفعال کند. البته برای استفاده از این آسیبپذیری هکر باید به شبکه داخلی دسترسی داشته باشد تا بتواند حمله مردمیانی (man in the middle) را پیادهسازی کند.
نسخه OpenSSL به شماره 1.0.2 بهمنظور مقابله با حمله هکرها باید به 1.0.2g ارتقاء یابد. اشکالی که هماکنون در سرورهای فعال دنیا وجود دارد، امکان برقراری ارتباط SSLv2 است. هکر میتواند ارتباط امن TLS را با کلید خصوصی مشترک با SSLv2، رمزگشایی کند. این آسیبپذیری با کد CVE-2016-0800 شناخته میشود.
بهمنظور پیادهسازی حمله هکر به 1000 ارتباط TLS دارد. با داشتن یک سرور قدرتمند مانند Amazon EC2 که حدود 450 دلار قیمت دارد، کلید 2048 بیتی RSA در 8 ساعت شکسته میشود. هماکنون 33 درصد ارتباطهای HTTPS و 22 درصد اعتبارنامههای موردقبول مرورگرها آسیبپذیر هستند.
همچنین اگر ارتباط SSLv2 هر یک از آسیبپذیریهای مطرح از 1998 تا 2015 را داشته باشد، با یک پردازنده مرکزی (CPU) در یک دقیقه میتوان TLS را رمزگشایی کرد.
منبع: سایبربان
انتهای پیام/
باشگاه خبرنگاران جوان پیگیری کرد؛
اختلال پایانههای پرداخت بانک ملت رفع شده است
روایتهایی دردناک از خشونت علیه کادر درمان؛
خشونت علیه کادر درمان، ریشهها و دلایل
