DROWN
Decrypting RSA with Obsolete and Weakened eNcryption
Errore correlato
“Questo server è vulnerabile a un attacco DROWN. Disabilita il protocollo SSLv2 sul server.”
Problema
I ricercatori hanno scoperto la vulnerabilità DROWN in SSL v2. DROWN è l’acronimo di “Decrypting RSA with Obsolete and Weakened eNcryption”. Interessa gli HTTPS e altri servizi che si affidano ai protocolli SSL e TLS.
I pirati possono usare la vulnerabilità DROWN per interrompere la crittografia usata per proteggere i tuoi dati sensibili da occhi indiscreti. Se la crittografia è interrotta, i pirati possono leggere o rubare le tue comunicazioni sensibili (ad es. password, dati finanziari ed e-mail). In alcune situazioni, i pirati possono anche impersonare i siti web attendibili.
Sebbene il protocollo SSL 2.0 sia stato disconosciuto nel 1996 a causa dei difetti di sicurezza noti, alcuni server lo stanno ancora usando. Vulnerabilità/difetti di sicurezza ben noti sono:
Integrità del messaggio per i codici di esportazione debole.
Integrità del messaggio insicura.
Vulnerabilità agli attacchi man-in-the-middle.
Vulnerabilità agli attacchi truncation.
Soluzione
Disabilitare SSL 2.0 su server o servizi che supportano ancora SSL v2.
OpenSSL
Per OpenSSL, la soluzione più facile è eseguire l’upgrade a versioni di OpenSSL rilasciate di recente. Se utilizzi ancora una delle versioni precedenti (non più supportate) di OpenSSL, esegui l’upgrade a una versione più recente supportata.
Microsoft IIS
Se utilizzi IIS 7 o successiva, SSL v2 è disabilitato per impostazione predefinita. Se hai abilitato manualmente il supporto per SSL v2, disabilitalo. Se esegui una versione precedente (non più supportata) di IIS, esegui l’upgrade a IIS versione 7 o successiva.
Network Security Services (NSS)
Se utilizzi NSS 3.13 o successiva, SSL v2 è disabilitato per impostazione predefinita. Se hai abilitato manualmente il supporto per SSL v2, devi disabilitarlo. Se utilizzi una versione di NSS precedente, esegui l’upgrade a NSS versione 3.13 o successiva.
Apache, Nginx, ecc.
Se i tuoi server supportano SSL v2, disabilita il relativo supporto.