drown


En organisation med medlemmar som Google, Openssl-projektet och flera universitet har släppt information om sårbarheten Drown som drabbar webbservrar som använder kryptering. Tillkännagivandet har gjorts i dag, tisdag.

Enligt organisationen är en tredjedel av alla servrar som använder protokollet https för säker kommunikation sårbara, vilket ska innebära fler än 11 miljoner webbservrar. Sårbarheten ska gälla för webbservrar som använder krypteringsprotokollen tls och ssl, till exempel sådana som använder https, vilket är mycket vanligt.

Läs också: Den viktiga detaljen som många säkerhetsexperter glömmer

Det mest uppseendeväckande med sårbarheten är att den egentligen inte gäller för de beskrivna protokollen ovan som drabbas, utan för det äldre krypteringsprotokollet sslv2. Det protokollet används i stort sett inte i dag, men det räcker att en webbserver har stöd för sslv2 för att den ska vara sårbar för Drown.

Om en webbserver tillåter anslutningar med sslv2 så är den öppen för Drownattacker, vilket enligt organisationen som upptäckt Drown gäller för 17 procent av alla webbservrar som använder https. Det räcker om en privat krypteringsnyckel används av en server som tillåter sslv2, även om den används med ett annat protokoll.

Det blir värre. Även om en webbserver inte tillåter sslv2 så räcker det med att en mejlserver gör det, så kan en tls-anslutning till webbservern hackas, om krypteringsnycklar återanvänds mellan olika servrar.

Läs också: Undersökning: Företagen slarvar otroligt mycket med kunders identiteter

Enligt Drownorganisationen finns det ingen anledning att tro att sårbarheten har utnyttjats.

Lösningen på problemet är se till att privata nycklar inte används på någon typ av server eller mjukvara som har stöd för sslv2-anslutningar. Det gäller till exempel smtp-, imap- och pop-servrar.

Organisationen som upptäckt Drown informerar här.

Här finns ett verktyg för att analysera om servrar är sårbara.

Fakta

  • Drown står för Decrypting RSA with Obsolete and Weakened eNcryption.
  • Tls står för Transport Layer Security.
  • Ssl står för Secure Sockets Layer.