- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Ez nem annyira uj sec vul: https://security-tracker.debian.org/tracker/CVE-2015-0204
De koszi, legalabb atneztem a tobbit is ;)
- A hozzászóláshoz be kell jelentkezni
Miért AMD?
- A hozzászóláshoz be kell jelentkezni
Ez most az SSL/TLS protokollban lévő hiba, vagy csak az implementációk érintettek? A weboldalon OpenSSL szerepel mint érintett szoftver. A GnuTLS érintett? A Microsoft SSL implementációja érintett?
- A hozzászóláshoz be kell jelentkezni
Ha jól értem, akkor annyiról van szó, hogy a man in the middle támadó ráveheti a szervert és a klienst, hogy gyengébb, majdnem valós időben törhető szimmetrikus kriptót használjanak. Ehhez annyi kell azon kívül, hogy be tud a támadó ékelődni a szerver és a kliens közé, hogy mind a böngésző mind a szerver támogassa az SSLv2-t vagy SSLv3 -at az anno export korlátozás alá eső (gyengített) algoritmusokkal együtt. A TLSv1 / TLSv1.1 nem érintett, mert nem tartalmaznak ilyen algoritmust. Szerver oldalon az SSLv2-t egyébként is tiltani kellene mindenestől, az újabb böngészőkben már benne sincs, a v3-at pedig vagy ki kell kapcsolni mindenestől és csak a TLS-t engedélyezni, vagy legalább a gyenge kriptókat nem kellene felajánlani szerver oldalról. Ez egyébként konfigurációs beállítás az Apache-ban és az nginx-ben, nem kell hozzá új SSL csomag.
- A hozzászóláshoz be kell jelentkezni