Comments 10
Спасибо, уже ставлю обновления.
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?
Концептуальной.
Не очень понятно, как они тогда исправили ее?
Форсированно включили TLS_FALLBACK_SCSV (предотвращает downgrade до SSLv3).
Никто ничего не форсирует. Теперь, с новым OpenSSL, клиенты могут отправлять SCSV последовательность при использовании SSL3, если они не смогли подключиться по TLS1.x. OpenSSL сервер закроет такое подключение и тем самым предотвратив downgrade до SSL3.
«by design»
Ссылки на источник, на описание уязвимости, на CVE, на статью на LWN, в конце концов? Ну или статья должна быть полная, с подробным описанием уязвимости. Not complaining, просто это в самом деле то, что ожидается увидеть в статье об уязвимости.
Спасибо.
Спасибо.
Описывали уже — habrahabr.ru/company/dsec/blog/240499/
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
Новости сегодня — прямо комбо: «Facebook удвоила антихакерскую премию — OpenSSL закрыл четыре опасные уязвимости»
Sign up to leave a comment.
OpenSSL закрыл четыре опасные уязвимости