2016
Phát hiện lỗ hổng bảo mật DROWN
Cập nhật lúc 07-03-2016 08:50 AM
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện và được định danh là DROWN, có thể ảnh hưởng đến rất nhiều hệ thống website đang chạy HTTPS.
Lỗ hổng này có thể xuất hiện nếu máy chủ được kích hoạt giao thức SSL 2.0, vốn đã được vô hiệu hóa mặc định trong các hệ điều hành và phần mềm hiện đại. Tuy nhiên, các máy chủ Windows Server 2003, một hệ điều hành vẫn đang còn được sử dụng rất rộng rãi, lại mặc định hỗ trợ SSL 2.0.
Mặc dù các trình duyệt (web, email,...) hiện đại đều đã mặc định không còn hỗ trợ SSL 2.0, và kết nối HTTPS giữa người dùng và máy chủ đều được thực hiện trên giao thức TLS, nhưng các hacker vẫn có thể tận dụng việc cấu hình sai của các nhà quản trị máy chủ (kích hoạt SSL 2.0 hoặc không vô hiệu hóa việc mặc định hỗ trợ SSL 2.0) để thực hiện việc tấn công và đánh cắp dữ liệu.
Để kiểm tra máy chủ của mình có bị ảnh hưởng bởi lỗ hổng bảo mật DROWN hay không, bạn thực hiện như sau:
Dùng tiện ích OpenSSL:
openssl s_client -connect www.yourdomain.com:443 -ssl2
Nếu kết quả trả về "Secure Renegotiation IS NOT supported" thì tức là máy chủ của bạn đã an toàn (SSL 2.0 không được hỗ trợ). Ngược lại nếu kết quả trả về "Secure Renegotiation IS supported" thì bạn phải tiến hành vô hiệu hóa SSL 2.0 ngay lập tức.
Dùng công cụ kiểm tra SSL:
Digicert SSL Checker (Bạn cần phải check vào mục "Check for common vulnerabilities")
Qualys SSL Checker
Bạn cần kiểm tra phần "Protocol Supported. Nếu xuất hiện SSL 2.0 trong danh sách tức là máy chủ của bạn đã bị ảnh hưởng bởi lỗ hổng bảo mật DROWN và bạn cần phải fix ngay lập tức.
Các bài cùng chuyên mục
- Các website sử dụng chứng chỉ số SHA1 cần được nâng cấp lên SHA256 (25-09-2015 03:04 PM)
- Phát hiện lỗ hổng bảo mật mới của thư viện OpenSSL (10-07-2015 10:20 AM)
- Cảnh báo lỗ hổng bảo mật nghiêm trọng VENOM (15-05-2015 10:41 AM)
- Thông tin mới về lỗ hổng bảo mật Heartbleed vulnerability liên quan đến thư viện OpenSSL (10-04-2014 09:55 AM)
- Phát hiện lỗ hổng bảo mật nghiêm trọng liên quan đến thư viện OpenSSL (10-04-2014 08:51 AM)