DROWN Saldırısı – 11 milyondan fazla OpenSSL HTTPS Web sitesi risk altında. (7.03.2016)
OpenSSL'de yeni keşfedilen bu öldürücü güvenlik açığı 11 milyondan fazla modern web sitesi ve eposta servisini tehdit ediyor.
Saatler içinde ya da bazen saniyeler içinde parolalarınız, kredi kartı bilgileriniz gibi bir çok bilgi HTTPs üzerinden güvenli olduğunu düşündüğünüz anda OpenSSL'deki güvenlik açığı sayesinde saldırganların eline geçebiliyor.
CVE-2016-0703 olarak kaydedilen açıklık TLS kullanan ama aynı zamanda SSLv2 protokolüne de izin veren bir sistemde keylerin ele geçmesi ve tüm trafiğin çözülmesi ile sonuçlanıyor.
Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared ve Samsung web sunucularının da aralarında olduğu dünya çapında 11,5 milyon sunucuyu etkilediği öngörülüyor.
Korunmanın yolu ise güvenlik güncellemesinden geçiyor. OpenSSL 1.0.2 yerine 1.0.2g ve OpenSSL 1.0.1 yerine 1.0.1s versiyonlarının kullanılması gerekiyor. Başka versiyon kullanıyorsanız en üst versiyona geçmeniz öneriliyor. Diğer bir öneli konu da SSLv2'nin kapalı olduğundan emin olmak ve "private key"'in diğer sunucular ile paylaşılmamış durumda olduğuna emin olmak.