Skip to main content

DROWN

RSA ontsleutelen met behulp van verouderde en verzwakte eNcryption

Gerelateerde fout

"Deze server is kwetsbaar voor een DROWN-aanval. Schakel het SSLv2-protocol op de server uit.

Probleem

Onderzoekers ontdekten de DROWN-kwetsbaarheid in SSL v2. DROWN staat voor Decrypting RSA with Obsolete and Weakened eNcryption. Het is van invloed op HTTPS en andere services die afhankelijk zijn van SSL- en TLS-protocollen.

Aanvallers kunnen de DROWN-kwetsbaarheid gebruiken om de codering te doorbreken die wordt gebruikt om uw gevoelige gegevens te beschermen tegen nieuwsgierige blikken. Als de versleuteling wordt verbroken, kunnen aanvallers uw gevoelige communicatie lezen of stelen (zoals wachtwoorden, financiële gegevens en e-mails). In sommige situaties kunnen aanvallers zich ook voordoen als vertrouwde websites.

Hoewel het SSL 2.0-protocol in 1996 werd afgewezen vanwege bekende beveiligingsfouten, gebruiken sommige servers het nog steeds. Bekende kwetsbaarheden/beveiligingsfouten zijn:

  • Berichtintegriteit voor exportciphers is zwak.

  • De integriteit van berichten is onveilig.

  • Kwetsbaar voor man-in-the-middle-aanvallen.

  • Kwetsbaar voor Truncation-aanval.

Oplossing

Schakel SSL 2.0 uit op servers of services die nog steeds SSL v2 ondersteunen.

OpenSSL

Voor OpenSSL is de eenvoudigste oplossing om te upgraden naar recent uitgebrachte versies van OpenSSL. Als u nog steeds een van de oudere (niet langer ondersteunde) versies van OpenSSL gebruikt, upgrade dan naar een ondersteunde nieuwere versie.

Microsoft IIS

Als u IIS 7 of nieuwer gebruikt, is SSL v2 standaard uitgeschakeld. Als u de ondersteuning voor SSL v2 handmatig heeft ingeschakeld, gaat u terug en schakelt u deze uit. Als u een oudere (niet langer ondersteunde) versie van IIS gebruikt, upgrade dan naar IIS-versie 7 of nieuwer.

Network Security Services (NSS)

Als u NSS 3.13 of nieuwer gebruikt, is SSL v2 standaard uitgeschakeld. Als u de ondersteuning voor SSL v2 handmatig heeft ingeschakeld, moet u teruggaan en deze uitschakelen. Als u een oudere versie van NSS gebruikt, upgrade dan naar NSS 3.13 of nieuwer.

Apache, Nginx, enz.

Als uw servers SSL v2 ondersteunen, schakelt u de ondersteuning hiervoor uit.

In deze sectie: