DROWN
Decrypting RSA using Obsolete and Weakened eNcryption
関連するエラー
「このサーバーにはDROWN攻撃に対する脆弱性があります。サーバーでSSLv2プロトコルを無効化してください。」
問題
研究者は、SSL v2におけるDROWN脆弱性を発見しました。DROWNとは「Decrypting RSA with Obsolete and Weakened eNcryption」の頭文字で、「旧式暗号および弱い暗号を利用しているRSA暗号の解読」という意味です。これは、HTTPS、およびSSLとTLSプロトコルに依存するその他のサービスに影響を及ぼします。
攻撃者は、詮索の目から機密データを保護するために使用されている暗号化を解読するためにDROWN脆弱性を使用することができます。暗号化が解読されると、攻撃者は機密通信(パスワード、財務データ、Eメールなど)を読み取ったり、盗んだりすることができます。状況によっては、攻撃者が信頼できるウェブサイトになりすますことができる場合もあります。
SSL 2.0プロトコルは、既知のセキュリティ欠陥が原因で1996年に認められなくなりましたが、一部のサーバーでは引き続き使用されています。よく知られている脆弱性/セキュリティ欠陥には、以下があります。
エクスポート暗号のメッセージ完全性が低い。
メッセージ完全性がセキュアではない。
中間者攻撃に対する脆弱性がある。
強制切断攻撃に対する脆弱性がある。
ソリューション
SSL v2を現在もサポートしているサーバーまたはサービスでSSL 2.0を無効化します。
OpenSSL
OpenSSLの場合は、OpenSSLを最近リリースされたバージョンにアップグレードすることが最も簡単なソリューションです。OpenSSLの古い(サポートされなくなった)バージョンのいずれかを現在も使用している場合は、サポートされている新しいバージョンにアップグレードしてください。
Microsoft IIS
IIS 7以降を使用している場合、SSL v2はデフォルトで無効化されています。SSL v2に対するサポートを手動で有効にした場合は、設定に戻って無効化してください。IISの古い(サポートされなくなった)バージョンを実行している場合は、IISのバージョン7以降にアップグレードしてください。
ネットワークセキュリティサービス(NSS)
NSS 3.13以降を使用している場合、SSL v2はデフォルトで無効化されています。SSL v2に対するサポートを手動で有効にした場合は、設定に戻って無効化する必要があります。NSSの古いバージョンを使用している場合は、NSS 3.13以降にアップグレードしてください。
Apache、Nginxなど
サーバーがSSL v2をサポートする場合は、そのサポートを無効にします。