22 марта 2016 Г.
Уязвимость DROWN влияет на сервера, поддерживающие SSLv2
Magento предупреждает своих пользователей о новой уязвимости в серверах с использованием SSL и TLS. Известная как DROWN, уязвимость может быть использована для расшифровки и кражи данных через защищенный канал связи HTTPS. Это не конкретная проблема Magento, пользователи подвергаются опасности для атаки в следующих случаях:
— Серверы, поддерживающие протокол шифрования SSLv2, 1990-х годов
— Серверы, использующие обновленный протокол TLS, когда они используют один и тот же секретный ключ с другим сервером (например, почтовый сервер), который поддерживает SSLv2
Magento призывает пользователей проверить свой сайт на DROWN, чтобы определить, является ли их сайт уязвимым. Пользователи должны проконсультироваться со своим хостинг-провайдером, чтобы выработать решение, которое будет приемлемо для вашего сайта, например, отключение протокола SSLv2. Это также хорошая возможность убедиться, что установленные библиотеки OpenSSL обновлены до последней версии. Пользователи могут проверить свои конфигурации HTTPS с использованием ресурса https://www.ssllabs.com/ssltest/.
В рамках всеобъемлющего подхода к безопасности, Magento регулярно делится обновлениями по вопросам безопасности, которые могут быть полезны для пользователей, даже если эти вопросы не связаны с работой основной технологии платформы.