FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

またもやOpenSSLの脆弱性その名もDROWN 33%ものサーバが影響を受けるそうです 簡単な確認方法 CVE-2016-0703

2016.03.02 (Wed)

OpenSSLに関する重大な脆弱性がまだもや発見される!
その名もDROWN。

CVE-2016-0703

■影響を受けるバージョン

OpenSSL 1.0.1rを含む前のバージョン
OpenSSL 1.0.2fを含む前のバージョン

また、OpenSSLだけではなく、
Microsoft IIS7以前や、
暗号ライブラリNSS 3.13以前も同様の脆弱性があるそうです。


■確認方法

至って簡単。
テストサイトが用意されているため、
そこに自分のサイトを入力するだけで確認可能

DROWN攻撃テストサイト
https://test.drownattack.com/





■回避方法

・SSLv2を無効化する。

・改修版のパッチを適用する。
 OpenSSL 1.0.2 利用者は 1.0.2g へ
 OpenSSL 1.0.1 利用者は 1.0.1s へ


■参考

OpenSSL Security Advisory [1st March 2016]
https://www.openssl.org/news/secadv/20160301.txt

関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック