Visão Geral

Denominada de Drown Attack pela mídia (CVE-2016-0800), a vulnerabilidade permite que informações que trafegam pela rede que utilizando certificados SSL baseados no padrão RSA  podem ser decriptografadas mediante interceptação do handshake SSLv2. 

 

Impacto

Servidores que utilizam o protocolo SSLv2 ou TLS em versões antigas ou que compartilham certificados com outros servidores que suportam SSLv2 poder ser afetados. 

Solução /  Mitigação

Verifique se seu servidor encontra-se vulnerável utilizando a ferramenta disponibilizada em https://drownattack.com/.

Desative o suporte ao protocolo SSLv2 em seus servidores.

Sistema Operacional Linux

CentOS

# yum update openssl

Debian / Ubuntu

# apt-get install --only-upgrade libssl1.0.0 openssl

Servidor web Apache

Altere as configurações de SSL utilizando as seguintes diretivas:

SSLProtocol All -SSLv2 -SSLv3
SSLCipherSuite EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256
SSLHonorCipherOrder on

SMTP - Postfix

Alterar o arquivo master.cf com as seguintes diretivas:

smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3

SMTP - Exim

Alterar o arquivo exim.conf modificando a opção tls_require_ciphers  para:

ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM:!SSLv2:!SSLv3

 

Microsoft Windows

Servidores IIS 7 ou mais novos tem o SSLv2 desativados por padrão. Versões mais antigas e sem suporte devem ser atualizadas.