ValdikSS Mar 2 2016 at 11:49

Уязвимость DROWN в SSLv2 позволяет дешифровать TLS-трафик

4 min

17K

Digital Security corporate blogInformation Security*

+19

Comments 5

nikitasius Mar 2 2016 at 12:12

Если кто-то переехал на новый постфик со старым конфигом, или у кого-то старый патченый кое как постфикс, то протоколы отрубаются вот так в main.cf:
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

И хорошая подсказка, где лежат шифры в статье про logjam. По аналогии открываем, ищем протоколы, убираем 2й и 3й SSL.

MrPrayer Mar 2 2016 at 14:07

Подробности на ArcTechnica

Ars Technica, через S и с пробелом. Ну или arstechnica.com.

ValdikSS Mar 2 2016 at 14:08

Исправлено.

andvgal Mar 2 2016 at 14:51

Если я правильно понял, ещё вчера накатывая на сервера обновления Debian из security всего-лишь со средним уровнем необходимости, то реально уязвимы были только те, кто из каких-то соображений поддерживал допотопные клиенты, т.к. большинство уже давно зарубили эти алгоритмы шифрования.

UPD:

Чтобы вырванным из контекста не получилось

openssl (1.0.1k-3+deb8u4) jessie-security; urgency=medium

Fix CVE-2016-0797
Fix CVE-2016-0798
Fix CVE-2016-0799
Fix CVE-2016-0702
Fix CVE-2016-0705
Disable EXPORT and LOW ciphers: The DROWN attack (CVE-2016-0800)
makes use of those, and SLOTH attack (CVE-2015-7575) can make use of them
too.

VBart Mar 4 2016 at 11:14

Для nginx достаточно оставить включенными только протоколы TLS:

В nginx SSLv2 по-умолчанию был отключен ещё в 0.8.19 (т.е. больше 6 лет назад). И ничего делать не нужно, если только вы сами явно не включили его зачем-то.