BLOG | NGINX

DROWN-Sicherheitslücke CVE-2016-0800 in OpenSSL verpasst die meisten NGINX-Benutzer

NGINX-Teil-von-F5-horiz-schwarz-Typ-RGB
Faisal Memon Miniaturbild
Faisal Memon
Veröffentlicht am 02. März 2016

Kürzlich wurde eine neue OpenSSL-Sicherheitslücke ( CVE-2016-0800 ) namens DROWN bekannt gegeben. Betroffen sind ältere Versionen mehrerer weit verbreiteter Servertechnologien:

  • SSLv2, eine alte Version des Secure Sockets Layer-Protokolls. Die meisten modernen Websites verwenden Secure Sockets Layer (SSL) überhaupt nicht, sondern sind zu Transport Layer Security (TLS) übergegangen.
  • IIS v7, eine ältere Version von Microsoft Internet Information Services
  • NSS 3.13 (Network Security Services), eine weit verbreitete kryptografische Bibliothek

Die DROWN-Sicherheitslücke wird auf einer speziellen Website beschrieben: The DROWN Attack . DROWN steht für D ecrypting R SA with O bsolete and Weakened e N cryption und macht anfällige Websites für Man-in-the-Middle-Angriffe.

DROWN ist insofern ungewöhnlich, als dass es nicht erfordert, dass eine Site aktiv SSLv2 oder andere anfällige Protokolle verwendet. Eine Site ist anfällig, wenn sie eines der anfälligen Protokolle unterstützt oder einen privaten Schlüssel mit einem anderen Server teilt, der SSLv2-Verbindungen zulässt.

Sowohl NGINX Open Source als auch NGINX Plus unterstützen SSLv2, aber es ist in allen Versionen seit NGINX 0.8.19 (veröffentlicht im Oktober 2009) standardmäßig deaktiviert. Nur Benutzer, die SSLv2 ausdrücklich aktiviert haben, eine NGINX-Version vor 0.8.19 verwenden oder einen privaten Schlüssel mit einem anderen Server teilen, der SSLv2-Verbindungen zulässt, sind für diesen Angriff anfällig.

Websitebesitzer sollten prüfen, ob ihre Website-Konfiguration SSLv2 unterstützt und es gegebenenfalls deaktivieren. Bei NGINX und NGINX Plus wird die Verwendung von SSL- und TLS-Protokollen durch die Konfigurationsdirektive ssl_protocols gesteuert. Um nur das aktuelle TLS zu aktivieren und SSL v2 und SSL v3 zu deaktivieren, verwenden Sie die folgende Syntax:

SSL-Protokolle TLSv1 TLSv1.1 TLSv1.2;

Bitte beachten Sie die Referenzdokumentation zur SSL/TLS-Unterstützung mit NGINX .

Weitere Informationen zum DROWN-Angriff und zu NGINX Open Source erhalten Sie, indem Sie eine E-Mail an nginx@nginx.org senden. Sie können sich auch für die Mailinglisten anmelden.

NGINX Plus- Benutzer können den NGINX-Support kontaktieren.

Weitere Informationen finden Sie auf den folgenden Websites:

Wenn Sie Ihre NGINX-Konfiguration aktualisieren oder die Anwendungsleistung für Ihre sichere Website verbessern möchten, sollten Sie ein Upgrade auf HTTP/2 in Betracht ziehen. Weitere Informationen zu den Vorteilen finden Sie in unserem aktuellen HTTP/2-Blogbeitrag und HTTP/2-Whitepaper .

Bild mit freundlicher Genehmigung von The Drown Attack .


„Dieser Blogbeitrag kann auf Produkte verweisen, die nicht mehr verfügbar und/oder nicht mehr unterstützt werden. Die aktuellsten Informationen zu verfügbaren F5 NGINX-Produkten und -Lösungen finden Sie in unserer NGINX-Produktfamilie . NGINX ist jetzt Teil von F5. Alle vorherigen NGINX.com-Links werden auf ähnliche NGINX-Inhalte auf F5.com umgeleitet."