Sager Oct 17 2014 at 15:09

OpenSSL закрыл четыре опасные уязвимости

1 min

19K

Information Security*Cryptography*

+49

Comments 10

DinoAsm Oct 17 2014 at 16:12

Спасибо, уже ставлю обновления.
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?

donnerjack13589 Oct 17 2014 at 16:18

Концептуальной.

bazzilic Oct 17 2014 at 18:17

Не очень понятно, как они тогда исправили ее?

ValdikSS Oct 17 2014 at 19:03

Форсированно включили TLS_FALLBACK_SCSV (предотвращает downgrade до SSLv3).

donnerjack13589 Oct 17 2014 at 19:21

Никто ничего не форсирует. Теперь, с новым OpenSSL, клиенты могут отправлять SCSV последовательность при использовании SSL3, если они не смогли подключиться по TLS1.x. OpenSSL сервер закроет такое подключение и тем самым предотвратив downgrade до SSL3.

DinoAsm Oct 21 2014 at 16:03

А сервер точно закроет это соединение? Маленький патчик, и ведь таки не закроет.

Indexator Oct 17 2014 at 16:44

«by design»

andrewsh Oct 18 2014 at 08:06

Ссылки на источник, на описание уязвимости, на CVE, на статью на LWN, в конце концов? Ну или статья должна быть полная, с подробным описанием уязвимости. Not complaining, просто это в самом деле то, что ожидается увидеть в статье об уязвимости.

Спасибо.

grrik13 Oct 18 2014 at 09:44

Описывали уже — habrahabr.ru/company/dsec/blog/240499/
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

RolexStrider Oct 18 2014 at 17:47

Новости сегодня — прямо комбо: «Facebook удвоила антихакерскую премию — OpenSSL закрыл четыре опасные уязвимости»