11 mio. webservere er sårbare overfor nyt kritisk sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 mio. webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

Tech

3. mar. 2016 kl. 09.55

nicolai devantier

En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Annonce

Det svarer til et antal på mere end 11 mio. webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 pct. af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her.

Men der er flere problemer.

Annonce

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her og i denne historie.

Læs også på Computerworld:

Sådan bryder hackere internet-kryptering

Indholdet fortsætter efter annoncen

Annonce

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL

11 mio. webservere er sårbare overfor nyt kritisk sikkerhedshul

Læg mærke til den gråhårede mand. Før man ved af det, kan han blive en af verdens mægtigste

Nu dør direktørmodellen til fordel for dette monster

Læg mærke til den gråhårede mand. Før man ved af det, kan han blive en af verdens mægtigste

Nu dør direktørmodellen til fordel for dette monster

Nationalbankdirektøren retter sig selv for anden gang: »Jeg er ikke sikker på, det med kontrol er et generelt karaktertræk«

Rebien er flyttet hjem til Danmark: Overtager flere boliger fra børnene

Der er stærke følelser på spil: Derfor blev AI udelukket i dansk milliardsatsning

»Det er den rygende pistol«: GLS-chauffører kører rundt uden lovpligtige godkendelser

Europas batterieventyr har finansiel rækkeviddeangst

Lufthavnsdirektør: »Der bliver ingen brændstofmangel i Københavns Lufthavn i sommermånederne«

Skib tæt på Hormuzstrædet er blevet kapret og er på vej mod Iran

Topjob

Erhvervsrådgiver

Økonomi- og administrationsansvarlig

Projektleder til Control Systems

Driftschef

Privatrådgiver

Formand/værkfører til svejseafdeling

Afdelingschef til Hillerød

Projektleder

Ansvarlig for compliance og hvidvask