Sager17 окт 2014 в 15:09

OpenSSL закрыл четыре опасные уязвимости

1 мин

19K

Информационная безопасность * Криптография *

+48

Комментарии 10

DinoAsm 17 окт 2014 в 16:12

Спасибо, уже ставлю обновления.
Вопрос: проблема с версией 3.0 была концептуальной или в реализации?

donnerjack13589 17 окт 2014 в 16:18

Концептуальной.

bazzilic 17 окт 2014 в 18:17

Не очень понятно, как они тогда исправили ее?

ValdikSS 17 окт 2014 в 19:03

Форсированно включили TLS_FALLBACK_SCSV (предотвращает downgrade до SSLv3).

donnerjack13589 17 окт 2014 в 19:21

Никто ничего не форсирует. Теперь, с новым OpenSSL, клиенты могут отправлять SCSV последовательность при использовании SSL3, если они не смогли подключиться по TLS1.x. OpenSSL сервер закроет такое подключение и тем самым предотвратив downgrade до SSL3.

DinoAsm 21 окт 2014 в 16:03

А сервер точно закроет это соединение? Маленький патчик, и ведь таки не закроет.

Indexator 17 окт 2014 в 16:44

«by design»

andrewsh 18 окт 2014 в 08:06

Ссылки на источник, на описание уязвимости, на CVE, на статью на LWN, в конце концов? Ну или статья должна быть полная, с подробным описанием уязвимости. Not complaining, просто это в самом деле то, что ожидается увидеть в статье об уязвимости.

Спасибо.

grrik13 18 окт 2014 в 09:44

Описывали уже — habrahabr.ru/company/dsec/blog/240499/
а суть проблемы подробно здесь — security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

RolexStrider 18 окт 2014 в 17:47

Новости сегодня — прямо комбо: «Facebook удвоила антихакерскую премию — OpenSSL закрыл четыре опасные уязвимости»

Зарегистрируйтесь на Хабре, чтобы оставить комментарий