Artikel top billede

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 millioner webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Det svarer til et antal på mere end 11 millioner webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Rammer gammel svaghed

Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 procent af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her: Efter ny kritisk sårbarhed: Drop nu SSL

Men der er flere problemer.

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb.

Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

28. marts 2023 | Læs mere


Nye muligheder - ny værdi. Få mere ud af Microsoft Dynamics 365 CE - med særligt fokus på kunstig intelligens (AI)

Kunstig intelligens, stemmegenkendelse, Open AIs meget omtalte ChatGPT, integrationer til Outlook, Teams og meget mere. Microsoft Dynamics 365-platformen byder på masser af muligheder for at øge produktiviteten, forbedre kundeservicen, få bedre indsigt i forretningen og i det hele taget rykke fra konkurrenterne.

29. marts 2023 | Læs mere


Enterprise Architecture Day 2023: Strategi styring og sikkerhed

Mange it-afdelinger har de seneste år har oprustet på it-arkitektursiden. Både gennem individuelle ansættelser og med oprettelse af egentlige arkitektafdelinger. Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu?

30. marts 2023 | Læs mere