DROWN — еще одна уязвимость в OpenSSL
1 марта 2016 года в сети появилась информация о новой уязвимости в OpenSSL под названием DROWN
Уязвимость позволяет провести Man-In-The-Middle на сайты, которые используют SSLv2.
По некоторым данным, уязвимости подвержены порядка 33% серверов использующих HTTPS, в том числе сайты таких крупных компаний, как Yahoo, Alibaba, Weibo, Buzzfeed, weather.com, Flickr и Samsung.
При этом уязвимость достаточно легко эксплуатировать: для расшифровки HTTPS трафика достаточно отправить специально сформированный пакет на сервер.
Поскольку массовую огласку уязвимость получила как раз из-за обновления для OpenSSL, патч уже опубликован, тем не менее на данный момент настоятельно рекомендуется отказаться от использования SSLv2, но поскольку, в отличии от Heartbleed, DROWN не позволяет получить закрытый ключ сервера, перевыпускать сертификат не требуется.
На момент публикации статьи найти какой нибудь эксплоит, демонстрирующий работу уязвимости не удалось, но есть сайт drownattack.com который позволяет проверить, уязвим ли ваш сайт.
Напомню, что Heartbleed это уязвимость в OpenSSL опубликованная в апреле 2014 года, которая позволяла несанкционированно читать память на сервере или на клиенте, в том числе для извлечения закрытого ключа сервера. Подробнее можно прочитать в данной стате.
UPD:
20 страничный документ на английском языке с детальными подробностями уязвимости — drownattack.com/drown-attack-paper.pdf (спасибо amarao)
