Merhaba, SSL şifrelemesinde bugün duyurulan bir açık saldırganların şifreli olması gereken HTTPS bağlantıların içeriğini okuyabileceğini gösterdi.
CVE-2016-0800 kodu ile yayınlanan ve DROWN olarak adlandırılan SSLv2 kullanarak TLS'e yönelik protokollerarası bir saldırı sonucunda SSL şifresinin kırılabildiği ortaya çıktı. Sunucuların, kırılabildiği bilinen SSlv2 sürümünü desteklemeleri, kullanmadıkları sürece, çok önemli bir açık olarak kabul edilmiyordu. Yayınlanan zafiyet ile birlikte aslında SSLv2'yi destekleyen sunucuların bu özelliğinden faydalanarak kullandıkları SSL şifresinin kırılabildiği ortaya çıktı. Bu zafiyeti istismar eden saldırganlar, kullanıcı bilgileri (kullanıcı adı ve parola) veya kredi kartı numarası gibi, şifreli olması gereken verilere ulaşmaları mümkün olmaktadır. Sunucunuzun veya uygulamalarınızın bu açıktan etkilenip etkilenmediğini https://drownattack.com/#check adresinden kontrol etmeniz mümkündür. Çözüm Önerileri OpenSSL 1.0.2 kullanıyorsanız, 1.0.2g'ye yükseltin OpenSSL 1.0.1 kullanıyorsanız 1.0.1s'e yükseltin IIS 7.0 ve üzeri sürümlerde SSLv2 fabrika ayarlarında desteklenmemektedir. Bu ayarı değiştirdiyseniz eski haline getirmeniz gerekecek. Apache ve Nginx sunucularınızın da SSLv2'yi destekelemeyecek şekilde ayarlandığını kontrol ediniz. OpenSSL'in kullandığınız cihazların arayüzlerinde veya üçüncü taraflara yaptırdığınız yazılımların içerisinde de kullanılabileceğini hatırlamakta fayda var. Konuyla ilgili OpenSSL güvenlik bültenine https://www.openssl.org/news/secadv/20160301.txt adresinden ulaşabilirsiniz. Saygılarımla, Alper Başaran www.alperbasaran.com
------------------- İleri Seviye Ağ Güvenliği Eğitimi 04-06 Mart 2016 - Istanbul -------------------
