В OpenSSL ликвидирована опасная уязвимость, позволявшая злоумышленнику расшифровывать HTTPS трафик

[Wellend]

Шо, опять?!

[Lure_of_Chaos]

Наблюдаем появление блекхет-математиков, не все же через социальную инженерию по заветам Митника ломать.
А такие дыры требуют особой подготовки для обнаружения.
Поэтому, ждите еще.

[J_o_k_e_R]

Отвратная статья, которая на самом деле перевод чуть менее отвратной статьи.

Ни номера CVE (CVE-2016-0701).
Противоречивые по смыслу абзацы:

Например, Apache использует опцию SSL_OP_SINGLE_DH_USE. BoringSSL также не подвергается опасности, поскольку избавился от поддержки SSL_OP_SINGLE_DH_USE еще несколько месяцев назад, а LibreSSL поступил аналогично на прошлой неделе.

Скажите мне кто-нибудь, никуда больше не подглядывая, нужно ли включать SSL_OP_SINGLE_DH_USE?

Уязвимости подвержена только версия 1.0.2, которая достаточно мало распространена. Фикс для 1.0.1 выпущен «на всякий случай».

В общем не читайте перед завтраком советских газет marks 'a. Он совсем обализарел, к сожалению.

Читайте первоисточники. Они рулят.

[ComodoHacker]

Что интересно, раньше они позволяли себе такие небрежные заметки только на Гиктаймс. А теперь — везде.

[grossws]

Это просто вы внимания не обращали. Такая ализаровщина творится уже год, если не больше.