DROWN

Decrypting RSA using Obsolete and Weakened eNcryption

관련된 오류

"이 서버는 DROWN 공격에 취약합니다. 서버에서 SSLv2 프로토콜을 사용 중지합니다."

문제점

연구자들은 SSL v2에서 DROWN 취약성을 발견했습니다. DROWN은 Decrypting RSA with Obsolete and Weakened eNcryption의 약자입니다. 이것은 SSL 및 TLS 프로토콜을 의존하는 HTTPS 및 기타 서비스에 영향을 줍니다.

공격자들은 DROWN 취약성을 사용하여 중요한 정보를 탈취에서 보호하는 데 사용하는 암호화를 무력화합니다. 암호화가 무력화되는 경우, 공격자는 중요한 통신(예, 암호, 재정 데이터 및 이메일)을 읽거나 탈취할 수 있습니다. 일부 상황에서 공격자는 신뢰하는 웹 사이트로 가장할 수도 있습니다.

SSL 2.0 프로토콜은 1996년에 잘 알려진 보안 결함으로 인해 중단되었지만 일부 서버는 아직 사용하고 있습니다. 잘 알려진 취약성/보안 결함:

  • 내보내기 암호화에 대한 메시지 무결성이 약함
  • 메시지 무결성이 안전하지 않음
  • MITM(man-in-the-middle) 공격에 취약
  • 자르기 공격에 취약

솔루션

아직 SSL v2를 지원하는 서버 또는 서비스에서 SSL 2.0을 사용 중지합니다.

OpenSSL

OpenSSL의 경우 가장 쉬운 솔루션은 OpenSSL 최신 릴리스 버전으로 업그레이드하는 것입니다.

아직 오래된 (더 이상 지원하지 않는) 버전의 OpenSSL을 사용하고 있는 경우, 지원되는 새 버전으로 업그레이드합니다.

Microsoft IIS

IIS 7 이상을 사용하고 있는 경우 기본값으로 SSL v2는 사용 중지되어 있습니다. 수동으로 SSL v2에 대한 지원하는 사용한 경우, 다시 사용 중지하십시오. 오래된 (더 이상 지원하지 않는) 버전의 IIS를 사용하고 있는 경우 IIS 버전 7 이상으로 업그레이드합니다.

NSS(Network Security Services)

NSS 3.13 이상을 사용하고 있는 경우 기본값으로 SSL v2는 사용 중지되어 있습니다. 수동으로 SSL v2에 대한 지원하는 사용한 경우, 다시 사용 중지하십시오. 오래된 버전의 NSS를 사용하고 있는 경우 NSS 3.13 이상으로 업그레이드합니다.

Apache, Nginx 등

서버가 SSL v2을 지원하는 경우, 지원을 사용 중지합니다.