DROWN Attack client-side scanning on CentOS 7

Facebooktwittermail

SSLv2の脆弱性攻撃 – DROWN Attackの確認方法です。

SSLの脆弱性で日本の大手サイトを含む全世界1100万以上のHTTPSサイトが攻撃を受け得ると判明
http://gigazine.net/news/20160302-drown-attack/

The DROWN Attack
https://drownattack.com/

DROWN check
https://drownattack.com/#check

試しに当サイトをチェックしてみました。
Image20160314173441

ただこのチェックは収集された結果を表示するだけのようで、脆弱性サーバのリストに該当しなかったけど、こっちのミスかファイアウォールの中にいたかもしれないのでクライアント側でのプログラムでチェックするのをお勧めしますと。

Results for rootlinks.net
We have not identified any vulnerable servers matching this name. It’s possible that our scans missed something, or that there are vulnerable devices behind your firewall. For such devices, we recommend using our client-side scanning software.

それならばとclient-side scanning softwareでチェックすることにしました。

DROWN Scanner
https://github.com/nimia/public_drown_scanner

実は発表直後にいろいろ試したのですがエラーで諦めてしまっていました。

CentOS:
Some users have encountered problems on CentOS with the asn1 package (or in general). In addition to installing the above dependencies for Fedora/RHEL, please see this issue for a suggested solution:

https://github.com/nimia/public_drown_scanner/issues/30

でも気になって再度調べたらそのものずばりの解説がありました。
OpenSSL の脆弱性 DROWN攻撃の対処と確認方法
http://s.webry.info/sp/vogel.at.webry.info/201603/article_2.html
この通りに作業を行えばOKでした。

結果だけですが。

取り敢えずOKでした。

ここに有名どころな脆弱性サイトのリストがあります。
Examples of Vulnerable Popular Sites
https://drownattack.com/top-sites.html

JPも24サイトありますが殆ど修正されているようです。ただ幾つかはまだそのままですね。

Leave a Reply