Какой у меня пароль? Вступить в сообщество

1 июля 2025,
вторник,
02:25:02 MSK

RSS

5 марта 2016, 08:24

В SSL нашли очередную критическую уязвимость — DROWN (CVE-2016-0800)

DROWN дословно переводится как «утонувший»

DROWN дословно переводится как «утонувший»
Иллюстрация с сайта Indiatvnews.Com

1 марта из почтовой рассылки OpenSSL стало известно об очередной опасной уязвимости в SSL/TLS — CVE-2016-0800 под кодовым названием DROWN.

Проблема, охарактеризованная как «межпротокольная атака на TLS с использованием SSLv2», получила высокий статус критичности и была устранена в релизах OpenSSL 1.0.2g и 1.0.1s. Уязвимость затрагивает все реализации второй версии SSL, который считается устаревшим, однако по-прежнему повсеместно используется, в том числе в сегменте веб-ресурсов (HTTPS). DROWN воспроизводится для серверов с поддержкой SSLv2 и шифрами EXPORT, позволяя узнать ключ RSA.

Разработчики OpenSSL узнали об уязвимости DROWN ещё 29 декабря 2015 от Нимрода Авирама (Nimrod Aviram) и Себастьяна Шинцеля (Sebastian Schinzel). Всем пользователям OpenSSL 1.0.2 и 1.0.1 рекомендуется срочно обновиться до последних версий продукта.

Постоянная ссылка к новости: https://www.nixp.ru/news/13692.html. Дмитрий Шурупов по материалам mta.openssl.org Mailing Lists.

OpenSSL, SSL, безопасность, уязвимости

Комментировать (3)

Читайте также в новостях:

В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160) 0 8 апреля 2014 г.
Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2-3 1 16 октября 2014 г.

visualtech 20:50, 6 марта 2016

В ALT Linux видимо уже исправлено… На момент выхода статьи обнаружил у ALT OpenSSL 1.0.1s, который задействовал для почты…

Ответить Цитировать

philosoft 12:56, 10 марта 2016

1

Себастьяна Шницеля (Sebastian Schinzel)

Он всё-таки Шинцель, а не шницель))

Ответить Цитировать

Дмитрий Шурупов 15:51, 10 марта 2016

:D Спасибо, исправил.

Ответить Цитировать

22 мая 2020

09:55

Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях 0

1 июля 2015

07:55

Amazon выпустила свою Open Source-реализацию SSL/TLS — s2n 23

11 декабря 2014

18:13

Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2 1-1

16 октября 2014

09:08

Выявлена серьезная уязвимость в SSL 3.0, получившая название «Poodle» 2-3 1

25 июня 2014

11:29

Компания Google анонсировала BoringSSL — собственный форк OpenSSL 23

8 апреля 2014

09:26

В OpenSSL 1.0.1 обнаружена критическая уязвимость Heartbleed (CVE-2014-0160) 0

Последние комментарии

OlegL, 17 декабря 2023 года в 15:00 → Перекличка 21
REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1

Palark

DevOps as a Service from Palark

24/7 SRE & DevOps service to cover all your Kubernetes needs.

© 2001—2025 АО «Флант»

При полном или частичном использовании любых материалов с сайта вы обязаны явным образом указывать гиперссылку на сайт www.nixp.ru в качестве источника.

Разработано в компании
Идея и поддержка проекта — Дмитрий Шурупов