About: DROWN attack

Property	Value
dbo:abstract	DROWN je v březnu 2016 zveřejněný útok na rodinu protokolů TLS a SSL. Zkratka znamená „Decrypting RSA with Obsolete and Weakened eNcryption“, tedy doslova „dešifrování RSA pomocí zastaralého a oslabeného šifrování“. Jeho podstatou je využití podpory zastaralého protokolu . SSL verze 2 je zastaralé od roku 1996, RFC 6176 z března 2011 jej dokonce výslovně zakazuje. Přesto objevitelé útoku zjistili, že jej v okamžiku objevu podporovalo zhruba 17 % HTTPS serverů. Útokem DROWN je navíc zranitelná i komunikace těch serverů, které sice samy SSL v2 nepodporují, ovšem sdílí soukromé klíče s nějakým jiným serverem, který ji podporuje – a nemusí se přitom ani jednat o webový server. SSL se totiž používá i pro zabezpečení jiných protokolů, například různých protokolů pro přenos e-mailů. Při započítání této možnosti byl podíl zranitelných HTTPS serverů v rámci celého internetu jedna třetina. V rámci České republiky ohlásilo sdružení CZ.NIC téměř třináct tisíc zranitelných IP adres. Nedostatečné zabezpečení komunikace proti DROWNu není možné vyřešit na straně klienta, protože byť si tento vynutí jakkoliv zabezpečené šifrování, nemůže nijak zajistit, že server na druhé straně nesdílí svůj klíč s nějakým nezabezpečeným serverem podporujícím SSL v2. (cs) The DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) attack is a cross-protocol security bug that attacks servers supporting modern SSLv3/TLS protocol suites by using their support for the obsolete, insecure, SSL v2 protocol to leverage an attack on connections using up-to-date protocols that would otherwise be secure. DROWN can affect all types of servers that offer services encrypted with SSLv3/TLS yet still support SSLv2, provided they share the same public key credentials between the two protocols. Additionally, if the same public key certificate is used on a different server that supports SSLv2, the TLS server is also vulnerable due to the SSLv2 server leaking key information that can be used against the TLS server. Full details of DROWN were announced in March 2016, along with a patch that disables SSLv2 in OpenSSL; the vulnerability was assigned the ID CVE-2016-0800. The patch alone will not be sufficient to mitigate the attack if the certificate can be found on another SSLv2 host. The only viable countermeasure is to disable SSLv2 on all servers. The researchers estimated that 33% of all HTTPS sites were affected by this vulnerability as of March 1, 2016. (en) El ataque DROWN es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar así las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas. DROWN puede afectar todos los tipos de servidores que ofrezcan servicios encriptados con TLS y que todavía ofrezcan soporte a SSLv2 y compartan las credenciales de clave pública entre los dos protocolos. En marzo de 2016 se hicieron públicos los detalles de los ataque DROWN junto con correcciones que permiten evitar este ataque; la vulnerabilidad recibió el código CVE CVE-2016-0800.Fue descubierto por investigadores de varias universidades como la de Universidad de Tel Aviv, Universidad de Ciencias Aplicadas de Munster, Universidad de Ruhr en Bochum y Universidad de Pensilvania. (es) DROWN est une vulnérabilité informatique affectant le protocole SSLv2, publiée en mars 2016. Cette faille permet à un pirate de récupérer des informations sur un serveur et de compromettre une communication utilisant le protocole TLS, plus récent et réputé comme sûr, via une attaque de type cross-protocol (multi-protocole). DROWN est identifiée au niveau international par le code CVE CVE-2016-0800. (fr)
dbo:thumbnail	wiki-commons:Special:FilePath/DROWN_logo.svg?width=300
dbo:wikiPageExternalLink	https://drownattack.com/drown-attack-paper.pdf https://cve.mitre.org/cgi-bin/cvename.cgi%3Fname=cve-2016-0800 https://www.cyberwatch.fr/en/vulnerabilities/CVE-2016-0800 https://drownattack.com
dbo:wikiPageID	49615706 (xsd:integer)
dbo:wikiPageLength	7743 (xsd:nonNegativeInteger)
dbo:wikiPageRevisionID	1113384609 (xsd:integer)
dbo:wikiPageWikiLink	dbr:SSL_v2 dbr:Chosen-ciphertext_attack dbr:Cloud_computing dbr:Transport_Layer_Security dbr:Adaptive_chosen-ciphertext_attack dbc:2016_in_computing dbr:HTTPS dbr:Security_bug dbc:Cryptographic_attacks dbc:Transport_Layer_Security dbr:OpenSSL dbr:Secure_Sockets_Layer dbr:Public_key_certificate dbr:Man-in-the-middle_attack dbr:Protocol_suite dbr:File:DROWN_logo.svg
dbp:affectedSoftware	dbr:Secure_Sockets_Layer
dbp:caption	Broken lock logo symbolizing DROWN attack (en)
dbp:cve	-2016.0
dbp:discoverer	Nimrod Aviram, Sebastian Schinzel (en)
dbp:name	DROWN (en)
dbp:wikiPageUsesTemplate	dbt:Infobox_bug dbt:CVE dbt:Redirect dbt:Reflist dbt:Short_description dbt:Start_date_and_age dbt:URL dbt:Expert-subject dbt:Hacking_in_the_2010s dbt:SSL/TLS
dcterms:subject	dbc:2016_in_computing dbc:Cryptographic_attacks dbc:Transport_Layer_Security
gold:hypernym	dbr:Bug
rdf:type	dbo:Insect
rdfs:comment	DROWN est une vulnérabilité informatique affectant le protocole SSLv2, publiée en mars 2016. Cette faille permet à un pirate de récupérer des informations sur un serveur et de compromettre une communication utilisant le protocole TLS, plus récent et réputé comme sûr, via une attaque de type cross-protocol (multi-protocole). DROWN est identifiée au niveau international par le code CVE CVE-2016-0800. (fr) DROWN je v březnu 2016 zveřejněný útok na rodinu protokolů TLS a SSL. Zkratka znamená „Decrypting RSA with Obsolete and Weakened eNcryption“, tedy doslova „dešifrování RSA pomocí zastaralého a oslabeného šifrování“. Jeho podstatou je využití podpory zastaralého protokolu . Nedostatečné zabezpečení komunikace proti DROWNu není možné vyřešit na straně klienta, protože byť si tento vynutí jakkoliv zabezpečené šifrování, nemůže nijak zajistit, že server na druhé straně nesdílí svůj klíč s nějakým nezabezpečeným serverem podporujícím SSL v2. (cs) The DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) attack is a cross-protocol security bug that attacks servers supporting modern SSLv3/TLS protocol suites by using their support for the obsolete, insecure, SSL v2 protocol to leverage an attack on connections using up-to-date protocols that would otherwise be secure. DROWN can affect all types of servers that offer services encrypted with SSLv3/TLS yet still support SSLv2, provided they share the same public key credentials between the two protocols. Additionally, if the same public key certificate is used on a different server that supports SSLv2, the TLS server is also vulnerable due to the SSLv2 server leaking key information that can be used against the TLS server. (en) El ataque DROWN es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar así las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas. DROWN puede afectar todos los tipos de servidores que ofrezcan servicios encriptados con TLS y que todavía ofrezcan soporte a SSLv2 y compartan las credenciales de clave pública entre los dos protocolos. (es)
rdfs:label	DROWN (cs) DROWN attack (en) Ataque DROWN (es) DROWN (fr)
owl:sameAs	yago-res:DROWN attack wikidata:DROWN attack dbpedia-cs:DROWN attack dbpedia-es:DROWN attack dbpedia-fr:DROWN attack dbpedia-tr:DROWN attack https://global.dbpedia.org/id/2AWM8
prov:wasDerivedFrom	wikipedia-en:DROWN_attack?oldid=1113384609&ns=0
foaf:depiction	wiki-commons:Special:FilePath/DROWN_logo.svg
foaf:isPrimaryTopicOf	wikipedia-en:DROWN_attack
is dbo:wikiPageDisambiguates of	dbr:Drown_(disambiguation)
is dbo:wikiPageRedirects of	dbr:CVE-2016-0800 dbr:DROWN dbr:Drown_attack
is dbo:wikiPageWikiLink of	dbr:Pwnie_Awards dbr:Nadia_Heninger dbr:Transport_Layer_Security dbr:CVE-2016-0800 dbr:J._Alex_Halderman dbr:Drown_(disambiguation) dbr:DROWN dbr:Drown_attack
is foaf:primaryTopic of	wikipedia-en:DROWN_attack