Comments 10
Спасибо, уже ставлю обновления.
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?
0
Концептуальной.
+1
Не очень понятно, как они тогда исправили ее?
+3
Форсированно включили TLS_FALLBACK_SCSV (предотвращает downgrade до SSLv3).
+1
Никто ничего не форсирует. Теперь, с новым OpenSSL, клиенты могут отправлять SCSV последовательность при использовании SSL3, если они не смогли подключиться по TLS1.x. OpenSSL сервер закроет такое подключение и тем самым предотвратив downgrade до SSL3.
+3
«by design»
0
Ссылки на источник, на описание уязвимости, на CVE, на статью на LWN, в конце концов? Ну или статья должна быть полная, с подробным описанием уязвимости. Not complaining, просто это в самом деле то, что ожидается увидеть в статье об уязвимости.
Спасибо.
Спасибо.
0
Описывали уже — habrahabr.ru/company/dsec/blog/240499/
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
0
Новости сегодня — прямо комбо: «Facebook удвоила антихакерскую премию — OpenSSL закрыл четыре опасные уязвимости»
0
Sign up to leave a comment.
OpenSSL закрыл четыре опасные уязвимости