Skip to main content

DROWN

Decrypting RSA with Obsolete and Weakened eNcryption

Errore correlato

“Questo server è vulnerabile a un attacco DROWN. Disabilita il protocollo SSLv2 sul server.”

Problema

I ricercatori hanno scoperto la vulnerabilità DROWN in SSL v2. DROWN è l’acronimo di “Decrypting RSA with Obsolete and Weakened eNcryption”. Interessa gli HTTPS e altri servizi che si affidano ai protocolli SSL e TLS.

I pirati possono usare la vulnerabilità DROWN per interrompere la crittografia usata per proteggere i tuoi dati sensibili da occhi indiscreti. Se la crittografia è interrotta, i pirati possono leggere o rubare le tue comunicazioni sensibili (ad es. password, dati finanziari ed e-mail). In alcune situazioni, i pirati possono anche impersonare i siti web attendibili.

Sebbene il protocollo SSL 2.0 sia stato disconosciuto nel 1996 a causa dei difetti di sicurezza noti, alcuni server lo stanno ancora usando. Vulnerabilità/difetti di sicurezza ben noti sono:

  • Integrità del messaggio per i codici di esportazione debole.

  • Integrità del messaggio insicura.

  • Vulnerabilità agli attacchi man-in-the-middle.

  • Vulnerabilità agli attacchi truncation.

Soluzione

Disabilitare SSL 2.0 su server o servizi che supportano ancora SSL v2.

OpenSSL

Per OpenSSL, la soluzione più facile è eseguire l’upgrade a versioni di OpenSSL rilasciate di recente. Se utilizzi ancora una delle versioni precedenti (non più supportate) di OpenSSL, esegui l’upgrade a una versione più recente supportata.

Microsoft IIS

Se utilizzi IIS 7 o successiva, SSL v2 è disabilitato per impostazione predefinita. Se hai abilitato manualmente il supporto per SSL v2, disabilitalo. Se esegui una versione precedente (non più supportata) di IIS, esegui l’upgrade a IIS versione 7 o successiva.

Network Security Services (NSS)

Se utilizzi NSS 3.13 o successiva, SSL v2 è disabilitato per impostazione predefinita. Se hai abilitato manualmente il supporto per SSL v2, devi disabilitarlo. Se utilizzi una versione di NSS precedente, esegui l’upgrade a NSS versione 3.13 o successiva.

Apache, Nginx, ecc.

Se i tuoi server supportano SSL v2, disabilita il relativo supporto.