Uma nova vulnerabilidade do OpenSSL ( CVE-2016-0800 ), chamada DROWN, foi anunciada recentemente. Ela afeta versões mais antigas de diversas tecnologias de servidor amplamente utilizadas:
A vulnerabilidade DROWN é descrita em um site dedicado, The DROWN Attack . DROWN significa Decrypting R SA with Obsolete and W eakened e N cryption ( Descriptografar R SA com criptografia O bsolete e enfraquecida) e torna sites vulneráveis suscetíveis a ataques do tipo man-in-the-middle.
O DROWN é incomum porque não exige que um site use ativamente SSLv2 ou outros protocolos vulneráveis. Um site é vulnerável se ele suporta um dos protocolos vulneráveis ou compartilha uma chave privada com qualquer outro servidor que permita conexões SSLv2.
Tanto o NGINX Open Source quanto o NGINX Plus oferecem suporte a SSLv2, mas ele é desativado por padrão em todas as versões desde o NGINX 0.8.19 (lançado em outubro de 2009). Somente usuários que ativaram explicitamente o SSLv2, ou usam uma versão do NGINX anterior à 0.8.19, ou compartilham uma chave privada com outro servidor que permite conexões SSLv2, são vulneráveis a esse ataque.
Os proprietários de sites devem verificar se a configuração do seu site suporta SSLv2 e desativá-lo se isso ocorrer. Com o NGINX e o NGINX Plus, o uso dos protocolos SSL e TLS é controlado pela diretiva de configuração ssl_protocols
. Para habilitar somente o TLS recente e desabilitar o SSL v2 e o SSL v3, use a seguinte sintaxe:
protocolos ssl TLSv1 TLSv1.1 TLSv1.2;
Consulte a documentação de referência sobre suporte a SSL/TLS com NGINX .
Para mais informações sobre o ataque DROWN e o NGINX Open Source, envie um e-mail para nginx@nginx.org . Você também pode se inscrever nas listas de discussão .
Usuários do NGINX Plus podem entrar em contato com o Suporte do NGINX.
Visite os seguintes sites para mais informações:
Se você estiver atualizando sua configuração do NGINX ou se estiver procurando melhorar o desempenho do aplicativo para seu site seguro, considere atualizar para HTTP/2. Você pode aprender sobre os benefícios em nossa recente postagem no blog HTTP/2 e no white paper sobre HTTP/2 .
Imagem cortesia de The Drown Attack .
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."