BLOG | NGINX

La vulnérabilité DROWN CVE-2016-0800 dans OpenSSL échappe à la plupart des utilisateurs de NGINX

NGINX-Partie-de-F5-horiz-black-type-RGB
Vignette de Faisal Memon
Fayçal Memon
Publié le 02 mars 2016

Une nouvelle vulnérabilité OpenSSL ( CVE-2016-0800 ), appelée DROWN, a été récemment annoncée. Cela affecte les anciennes versions de plusieurs technologies de serveur largement utilisées :

  • SSLv2, une ancienne version du protocole Secure Sockets Layer. La plupart des sites Web les plus récents n’utilisent pas du tout Secure Sockets Layer (SSL), étant passés à Transport Layer Security (TLS).
  • IIS v7, une ancienne version de Microsoft Internet Information Services
  • NSS 3.13 (Network Security Services), une bibliothèque cryptographique largement utilisée

La vulnérabilité DROWN est décrite sur un site Web dédié, The DROWN Attack . DROWN signifie « D ecrypting R SA with O bsolete and W eakened e N cryption » (décryptage R SA avec un cryptage obsolète et affaibli), et rend les sites Web vulnérables aux attaques de l'homme du milieu.

DROWN est inhabituel dans la mesure où il ne nécessite pas qu'un site utilise activement SSLv2 ou d'autres protocoles vulnérables. Un site est vulnérable s’il prend en charge l’un des protocoles vulnérables ou partage une clé privée avec un autre serveur autorisant les connexions SSLv2.

NGINX Open Source et NGINX Plus prennent tous deux en charge SSLv2, mais cette fonction est désactivée par défaut dans toutes les versions depuis NGINX 0.8.19 (sortie en octobre 2009). Seuls les utilisateurs qui ont explicitement activé SSLv2, ou qui utilisent une version NGINX antérieure à 0.8.19, ou qui partagent une clé privée avec un autre serveur qui autorise les connexions SSLv2, sont vulnérables à cette attaque.

Les propriétaires de sites doivent vérifier si la configuration de leur site Web prend en charge SSLv2 et le désactiver si c'est le cas. Avec NGINX et NGINX Plus, l'utilisation des protocoles SSL et TLS est contrôlée par la directive de configuration ssl_protocols . Pour activer uniquement le TLS récent et désactiver SSL v2 et SSL v3, utilisez la syntaxe suivante :

protocoles ssl TLSv1 TLSv1.1 TLSv1.2;

Veuillez consulter la documentation de référence sur la prise en charge SSL/TLS avec NGINX .

Pour plus d'informations sur l'attaque DROWN et NGINX Open Source, envoyez un e-mail à nginx@nginx.org . Vous pouvez également vous abonner aux listes de diffusion .

Les utilisateurs de NGINX Plus peuvent contacter le support NGINX.

Visitez les sites suivants pour plus d'informations :

Si vous mettez à jour votre configuration NGINX ou si vous cherchez à améliorer les performances des applications pour votre site Web sécurisé, envisagez de passer à HTTP/2. Vous pouvez en apprendre davantage sur les avantages dans notre récent article de blog HTTP/2 et dans notre livre blanc HTTP/2 .

Image reproduite avec l'aimable autorisation de The Drown Attack .

Lire plus d'articles de blog sur F5 NGINX ›

« Cet article de blog peut faire référence à des produits qui ne sont plus disponibles et/ou qui ne sont plus pris en charge. Pour obtenir les informations les plus récentes sur les produits et solutions F5 NGINX disponibles, explorez notre famille de produits NGINX . NGINX fait désormais partie de F5. Tous les liens NGINX.com précédents redirigeront vers un contenu NGINX similaire sur F5.com."