Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
ga
https://androbit.net/ContentUploads/N6151/drown_ssl_tls_hacker.jpg

DROWN‑sebezhetőség ‑ A magyar kormányzati weboldalak is érintettek

2016.03.02. 22.56
A manapság egyre jelentősebb sérülékenységekben (Heartbleed) érintett, mégis sokak által használt OpenSSL-ben egy rendkívül komoly sérülékenységet fedeztek fel, aminek segítségével a támadók feltörhetik a kliens és szerver között zajló, elvileg biztonságos kommunikáció (böngészés, e-mailezés, chatelés, stb.) titkosítását, valamint eltéríthetik azt. Az interneten elérhető weboldalak harmada (sok millió weboldal) érintett, köztük a magyar kormányzati weboldalak is.

A Decrypting RSA with Obsolete and Weakened eNcryption (DROWN) névre keresztelt sebezhetőséggel úgynevezett man-in-the-middle támadás hajtható végre a titkosított kommunikációs lehetőséget biztosító szerver és a kliens ellen, aminek következtében a kommunikáció tárgya lehallgatható és akár el is téríthető.

Bár a sérülékenységet már javították az OpenSSL-ben, a legtöbb szerveren még nem frissítették a szoftvert a legfrissebb, javított kiadásra, ennél fogva olyan weboldalak is érintettek a problémában, mint a magyar kormányzat weboldalai:


  • Budapest Főváros Kormányhivatala (bfkh.gov.hu)

  • Nemzeti Adó és Vámhivatal (nav.gov.hu)

  • Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala (kekkh.gov.hu)

  • Széchenyi 2020 (palyazat.gov.hu)

  • Mezőgazdasági és Vidékfejlesztési Hivatal (mvh.gov.hu)

  • Büntetés-végrehajtási Szervezet (bv.gov.hu)

  • …és az összes többi gov.hu aloldal



A DROWN ráadásul nemcsak nevet, de logót és saját weboldalt is kapott, aminek segítségével könnyedén ellenőrizhetjük az általunk használt és/vagy üzemeltetett weboldalakat.