BLOG | NGINX

Vulnerabilidade DROWN CVE-2016-0800 no OpenSSL ignora a maioria dos usuários do NGINX

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura de Faisal Memon
Faisal Memon
Publicado em 02 de março de 2016

Uma nova vulnerabilidade do OpenSSL ( CVE-2016-0800 ), chamada DROWN, foi anunciada recentemente. Ela afeta versões mais antigas de diversas tecnologias de servidor amplamente utilizadas:

  • SSLv2, uma versão antiga do protocolo Secure Sockets Layer. A maioria dos sites mais atualizados não usa Secure Sockets Layer (SSL), tendo migrado para Transport Layer Security (TLS).
  • IIS v7, uma versão mais antiga do Microsoft Internet Information Services
  • NSS 3.13 (Network Security Services), uma biblioteca criptográfica amplamente utilizada

A vulnerabilidade DROWN é descrita em um site dedicado, The DROWN Attack . DROWN significa Decrypting R SA with Obsolete and W eakened e N cryption ( Descriptografar R SA com criptografia O bsolete e enfraquecida) e torna sites vulneráveis suscetíveis a ataques do tipo man-in-the-middle.

O DROWN é incomum porque não exige que um site use ativamente SSLv2 ou outros protocolos vulneráveis. Um site é vulnerável se ele suporta um dos protocolos vulneráveis ou compartilha uma chave privada com qualquer outro servidor que permita conexões SSLv2.

Tanto o NGINX Open Source quanto o NGINX Plus oferecem suporte a SSLv2, mas ele é desativado por padrão em todas as versões desde o NGINX 0.8.19 (lançado em outubro de 2009). Somente usuários que ativaram explicitamente o SSLv2, ou usam uma versão do NGINX anterior à 0.8.19, ou compartilham uma chave privada com outro servidor que permite conexões SSLv2, são vulneráveis a esse ataque.

Os proprietários de sites devem verificar se a configuração do seu site suporta SSLv2 e desativá-lo se isso ocorrer. Com o NGINX e o NGINX Plus, o uso dos protocolos SSL e TLS é controlado pela diretiva de configuração ssl_protocols . Para habilitar somente o TLS recente e desabilitar o SSL v2 e o SSL v3, use a seguinte sintaxe:

protocolos ssl TLSv1 TLSv1.1 TLSv1.2;

Consulte a documentação de referência sobre suporte a SSL/TLS com NGINX .

Para mais informações sobre o ataque DROWN e o NGINX Open Source, envie um e-mail para nginx@nginx.org . Você também pode se inscrever nas listas de discussão .

Usuários do NGINX Plus podem entrar em contato com o Suporte do NGINX.

Visite os seguintes sites para mais informações:

Se você estiver atualizando sua configuração do NGINX ou se estiver procurando melhorar o desempenho do aplicativo para seu site seguro, considere atualizar para HTTP/2. Você pode aprender sobre os benefícios em nossa recente postagem no blog HTTP/2 e no white paper sobre HTTP/2 .

Imagem cortesia de The Drown Attack .


"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."