The DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) attack is a cross-protocol security bug that attacks servers supporting modern SSLv3/TLS protocol suites by using their support for the obsolete, insecure, SSL v2 protocol to leverage an attack on connections using up-to-date protocols that would otherwise be secure. DROWN can affect all types of servers that offer services encrypted with SSLv3/TLS yet still support SSLv2, provided they share the same public key credentials between the two protocols. Additionally, if the same public key certificate is used on a different server that supports SSLv2, the TLS server is also vulnerable due to the SSLv2 server leaking key information that can be used against the TLS server.
| Attributes | Values |
|---|
| rdf:type
| |
| rdfs:label
| - DROWN (cs)
- DROWN attack (en)
- Ataque DROWN (es)
- DROWN (fr)
|
| rdfs:comment
| - DROWN est une vulnérabilité informatique affectant le protocole SSLv2, publiée en mars 2016. Cette faille permet à un pirate de récupérer des informations sur un serveur et de compromettre une communication utilisant le protocole TLS, plus récent et réputé comme sûr, via une attaque de type cross-protocol (multi-protocole). DROWN est identifiée au niveau international par le code CVE CVE-2016-0800. (fr)
- DROWN je v březnu 2016 zveřejněný útok na rodinu protokolů TLS a SSL. Zkratka znamená „Decrypting RSA with Obsolete and Weakened eNcryption“, tedy doslova „dešifrování RSA pomocí zastaralého a oslabeného šifrování“. Jeho podstatou je využití podpory zastaralého protokolu . Nedostatečné zabezpečení komunikace proti DROWNu není možné vyřešit na straně klienta, protože byť si tento vynutí jakkoliv zabezpečené šifrování, nemůže nijak zajistit, že server na druhé straně nesdílí svůj klíč s nějakým nezabezpečeným serverem podporujícím SSL v2. (cs)
- The DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) attack is a cross-protocol security bug that attacks servers supporting modern SSLv3/TLS protocol suites by using their support for the obsolete, insecure, SSL v2 protocol to leverage an attack on connections using up-to-date protocols that would otherwise be secure. DROWN can affect all types of servers that offer services encrypted with SSLv3/TLS yet still support SSLv2, provided they share the same public key credentials between the two protocols. Additionally, if the same public key certificate is used on a different server that supports SSLv2, the TLS server is also vulnerable due to the SSLv2 server leaking key information that can be used against the TLS server. (en)
- El ataque DROWN es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar así las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas. DROWN puede afectar todos los tipos de servidores que ofrezcan servicios encriptados con TLS y que todavía ofrezcan soporte a SSLv2 y compartan las credenciales de clave pública entre los dos protocolos. (es)
|
| name
| |
| foaf:depiction
| |
| dcterms:subject
| |
| Wikipage page ID
| |
| Wikipage revision ID
| |
| Link from a Wikipage to another Wikipage
| |
| Link from a Wikipage to an external page
| |
| sameAs
| |
| dbp:wikiPageUsesTemplate
| |
| thumbnail
| |
| caption
| - Broken lock logo symbolizing DROWN attack (en)
|
| discoverer
| - Nimrod Aviram, Sebastian Schinzel (en)
|
| has abstract
| - DROWN je v březnu 2016 zveřejněný útok na rodinu protokolů TLS a SSL. Zkratka znamená „Decrypting RSA with Obsolete and Weakened eNcryption“, tedy doslova „dešifrování RSA pomocí zastaralého a oslabeného šifrování“. Jeho podstatou je využití podpory zastaralého protokolu . SSL verze 2 je zastaralé od roku 1996, RFC 6176 z března 2011 jej dokonce výslovně zakazuje. Přesto objevitelé útoku zjistili, že jej v okamžiku objevu podporovalo zhruba 17 % HTTPS serverů. Útokem DROWN je navíc zranitelná i komunikace těch serverů, které sice samy SSL v2 nepodporují, ovšem sdílí soukromé klíče s nějakým jiným serverem, který ji podporuje – a nemusí se přitom ani jednat o webový server. SSL se totiž používá i pro zabezpečení jiných protokolů, například různých protokolů pro přenos e-mailů. Při započítání této možnosti byl podíl zranitelných HTTPS serverů v rámci celého internetu jedna třetina. V rámci České republiky ohlásilo sdružení CZ.NIC téměř třináct tisíc zranitelných IP adres. Nedostatečné zabezpečení komunikace proti DROWNu není možné vyřešit na straně klienta, protože byť si tento vynutí jakkoliv zabezpečené šifrování, nemůže nijak zajistit, že server na druhé straně nesdílí svůj klíč s nějakým nezabezpečeným serverem podporujícím SSL v2. (cs)
- The DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) attack is a cross-protocol security bug that attacks servers supporting modern SSLv3/TLS protocol suites by using their support for the obsolete, insecure, SSL v2 protocol to leverage an attack on connections using up-to-date protocols that would otherwise be secure. DROWN can affect all types of servers that offer services encrypted with SSLv3/TLS yet still support SSLv2, provided they share the same public key credentials between the two protocols. Additionally, if the same public key certificate is used on a different server that supports SSLv2, the TLS server is also vulnerable due to the SSLv2 server leaking key information that can be used against the TLS server. Full details of DROWN were announced in March 2016, along with a patch that disables SSLv2 in OpenSSL; the vulnerability was assigned the ID CVE-2016-0800. The patch alone will not be sufficient to mitigate the attack if the certificate can be found on another SSLv2 host. The only viable countermeasure is to disable SSLv2 on all servers. The researchers estimated that 33% of all HTTPS sites were affected by this vulnerability as of March 1, 2016. (en)
- El ataque DROWN es una falla de seguridad de protocolos cruzados que afecta a servidores criptográficos que soportan la pila de protocolos TLS al utilizar su soporte para el protocolo inseguro SSLv2 y atacar así las conexiones que utilizan protocolos actualizados sin fallas de seguridad conocidas. DROWN puede afectar todos los tipos de servidores que ofrezcan servicios encriptados con TLS y que todavía ofrezcan soporte a SSLv2 y compartan las credenciales de clave pública entre los dos protocolos. En marzo de 2016 se hicieron públicos los detalles de los ataque DROWN junto con correcciones que permiten evitar este ataque; la vulnerabilidad recibió el código CVE CVE-2016-0800.Fue descubierto por investigadores de varias universidades como la de Universidad de Tel Aviv, Universidad de Ciencias Aplicadas de Munster, Universidad de Ruhr en Bochum y Universidad de Pensilvania. (es)
- DROWN est une vulnérabilité informatique affectant le protocole SSLv2, publiée en mars 2016. Cette faille permet à un pirate de récupérer des informations sur un serveur et de compromettre une communication utilisant le protocole TLS, plus récent et réputé comme sûr, via une attaque de type cross-protocol (multi-protocole). DROWN est identifiée au niveau international par le code CVE CVE-2016-0800. (fr)
|
| affected software
| |
| CVE
| |
| gold:hypernym
| |
| prov:wasDerivedFrom
| |
| page length (characters) of wiki page
| |
| foaf:isPrimaryTopicOf
| |
| is Link from a Wikipage to another Wikipage
of | |
| is Wikipage redirect
of | |
| is Wikipage disambiguates
of | |
| is foaf:primaryTopic
of | |
![[RDF Data]](/fct/images/sw-rdf-blue.png)
![[cxml]](/fct/images/cxml_doc.png)
![[csv]](/fct/images/csv_doc.png)
![[text]](/fct/images/ntriples_doc.png)
![[turtle]](/fct/images/n3turtle_doc.png)
![[ld+json]](/fct/images/jsonld_doc.png)
![[rdf+json]](/fct/images/json_doc.png)
![[rdf+xml]](/fct/images/xml_doc.png)
![[atom+xml]](/fct/images/atom_doc.png)
![[html]](/fct/images/html_doc.png)
