Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: matsukan - 01.03.16 - klo:15.54

Otsikko: Go home SSLv2, you’re DROWNing
Kirjoitti: matsukan - 01.03.16 - klo:15.54

SSLv2:ssa on haavoittavuus joka mahdollistaa MITM hyökkäyksen ssl yhteyksissä.

CVE-2016-0800, also known as DROWN, stands for Decrypting RSA using Obsolete and Weakened eNcryption and is a Man-in-the-Middle (MITM) attack against servers running TLS for secure communications.

Red Hat advises that SSLv2 is a protocol that should no longer be considered safe and should not be used in a modern environment. Red Hat updates for OpenSSL can be found here: https://access.redhat.com/security/cve/cve-2016-0800. The updates cause the SSLv2 protocol to be disabled by default.

Eli palvelimien ylläpitäjien pitää huolehtia siitä että SSLv2:n käyttö ei ole turvallinen ja sen käyttö tulee lopettaa oletuksena.

Esim apachen tapauksessa esim. alvelu.conf.

Koodia: [Valitse]

  SSLProtocol all -SSLv2 -SSLv3


Otsikko: Vs: Go home SSLv2, you’re DROWNing
Kirjoitti: ajaaskel - 06.03.16 - klo:19.52

Koodia: [Valitse]

grep SSLProtocol /etc/apache2/mods-available/ssl.confSSLProtocol all -SSLv2 -SSLv3