Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Publicerad - Sårbarhet, OpenSSL, DROWN attack

Sårbarheter rättade i OpenSSL samt information om "DROWN attack"

OpenSSL rättar ett antal sårbarheter och plockar samtidigt bort stöd för SSLv2 som standard i kryptobiblioteket.

För information om respektive sårbarhet som rättas samt för information om vilka versioner som är rättade, se rådet från OpenSSL nedan[1].

Det är sedan länge känt att SSLv2 har brister[2]. Nu har säkerhetsforskare visat att det faktum att stöd för SSLv2 finns på t.ex en webbserver, kan utnyttjas för att dekryptera SSL/TLS-sessioner. Attacken går under namnet "DROWN attack". Här finns information om hur en attack går till, samt vilka åtgärder som kan behöva tas för att åtgärda sårbara system[3].

För att undersöka om en specifik webbplats är sårbar så kan detta verktyg användas[4]. För icke publika webbplatser och andra tjänster som använder sig av SSL/TLS så finns det även en "DROWN scanner" skriven i python[5].

[1] https://www.openssl.org/news/secadv/20160301.txt
[2] http://www.rfc-base.org/txt/rfc-6176.txt
[3] https://drownattack.com/
[4] https://drownattack.com/#check
[5] https://github.com/nimia/public_drown_scanner