Archiv verlassen und diese Seite im Standarddesign anzeigen : DROWN-Angriff: SSL-Protokoll aus der Steinzeit wird Servern zum Verhängnis
Die Drown-Attacke ermöglicht es Angreifern, die verschlüsselten Verbindungen etlicher Server zu knacken. Schuld ist ein Protokoll, das eigentlich längst vergessen ist: SSLv2.
http://www.heise.de/newsticker/meldung/DROWN-Angriff-SSL-Protokoll-aus-der-Steinzeit-wird-Servern-zum-Verhaengnis-3121121.html
Hier kann man Server überprüfen:
https://test.drownattack.com
Hier sind Erklärungen und Tipps:
https://drownattack.com
lumines
2016-03-01, 20:48:57
Kleine Anekdote aus dem Heise-Forum: Einige der großen Antivirenhersteller scheinen davon betroffen zu sein. Eigentlich hätten sie davon nicht betroffen sein sollen, wenn sie ein aktuelles OpenSSL benutzt hätten.
https://test.drownattack.com/?site=symantec.com
https://test.drownattack.com/?site=kaspersky.com
https://test.drownattack.com/?site=avira.com
https://test.drownattack.com/?site=avast.com
Quelle: http://www.heise.de/forum/heise-Security/News-Kommentare/DROWN-Angriff-SSL-Protokoll-aus-der-Steinzeit-wird-Servern-zum-Verhaengnis/Schlangenoelfabrikanten/posting-24628285/show/
Von SSLv2 wird seit Anfang 2011 abgeraten: https://tools.ietf.org/html/rfc6176
Die meisten Linux-Distributionen haben es seitdem scheinbar entfernt, bei Debian seit OpenSSL 1.0.0c-2, was auch 2011 veröffentlich wurde. Offenbar benutzen diese Antivirenhersteller also entweder absolut steinalte Software mit bekannten Sicherheitslücken oder benutzen bewusst vollkommen unsichere Protokolle. Ein gewisses Sicherheitsbewusstsein scheint da komplett zu fehlen.
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.