[request for info] дырки в openssl (MITM in TLS/SSL re-negotiation)

0

0

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-3555
там же информация по уязвимости, мне не совсем понятна сама возможность использования уязвимости. в блоге пишут только про https

"исправления" доступны в виде релиза openssl 0.9.8l , там просто отключили re-negotiation сессии (насколько часто и где это использовалось? есть какая-либо информация?)

Ссылка

←	ноутбук и просыпание

[ненависть!]ArchLinux мотивирует уйти на Ubuntu >_<

→

в рассылке Debain Security что-то тоже про это говорили

drakmail ★★★★
(06.11.09 07:23:11 MSK)

Ссылка

http://www.opennet.ru/opennews/art.shtml?num=24132

f00fc7c8
(06.11.09 09:48:31 MSK)

Ссылка

так по сути кажется разобралась, ошибка в дизайне протокола это конечно интересно (кстати новость вполне могла и должна бы быть на главной....)
остался еще вот такой вопрос, после отключения re-negotiation пострадает ли и как пострадает работа apache mod_ssl, imap, postgres (может еще что можно добавить в список?) ?

Sylvia ★★★★★
(06.11.09 15:16:39 MSK) автор топика

Ответ на: комментарий от Sylvia 06.11.09 15:16:39 MSK

В неподтвержденных вроде висит

xorik ★★★★★
(06.11.09 15:31:02 MSK)

Ответ на: комментарий от xorik 06.11.09 15:31:02 MSK

висит копипаста с того же опеннета..

Sylvia ★★★★★
(06.11.09 15:48:50 MSK) автор топика

Ответ на: комментарий от Sylvia 06.11.09 15:48:50 MSK

и там даже не сказано что подвержены не только пакет openssl , но и gnutls и nss

Sylvia ★★★★★
(06.11.09 15:51:26 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ноутбук и просыпание

Talks

[ненависть!]ArchLinux мотивирует уйти на Ubuntu >_<

→

Похожие темы