Критическая уязвимость DROWN

В начале марта хостерам было разослано срочное уведомление, которое сообщало о найденной уязвимости, которая носит название DROWN (Decrypting RSA using Obsolete and Weakened eNcryption) — Дешифрование RSA при использовании устаревшего и слабого шифрования. Она позволяет дешифровать защищённый трафик, если на серверной стороне не отключена поддержка протокола SSLv2 во всех серверах, оперирующих одним и тем же приватным ключом. Статистика приводится следующая: около 33% действующих веб-серверов подвержены данной уязвимости.

У всеобщей огласки известных уязвимостей есть и свои недостатки: многие юниоры, доселе только мечтавшие найти хоть какую-нибудь уязвимость, теперь знают, что такая существует. Потому риск при медленном реагировании возрастает.

На коммерческих серверах Клондайка используется TLS-протоколы, так что эта уязвимость — проблема других сервисов.

Сервера Клондайк:

• Сервер 1
• Сервер 2

А вот для примера статистика по некоторым популярным сайтам:

• oriflame.com
• speedtest.net
• rambler.ru
• rutube.ru
• megafon.ru

Не забывайте обновлять дистрибутивы хотя бы из репозиториев, связанных с безопасностью!