Menü
Avatar von s.goodman
  • s.goodman

232 Beiträge seit 05.03.2014

Infos und Server-Mitigations (link inside)

> https://www.8ack.de/bulletins/1413351157

Rob Graham gibt eine gute Zusammenfassung der Lücke:

- It requires MitM (man-in-the-middle) to exploit
- It requires, in almost all cases, JavaScript running in the
browser.
- It doesn't hack computers, but crack encryption.
- What the hacker will likely try to do is hack your session cookies
- It's the standard protocol that is vulnerable, not anybody's code.
- Only older versions of SSL are impacted -- but everybody is
backwards compatible with older versions.

-------------------------------

4% der Alexa Top-10.000 sind safe, 96% verwundbar
> https://8ack.de/sslv3

-------------------------------

Server-Mitigations: SSLv3 aus

# nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

# apache bis 2.2.22
SSLProtocol all -SSLv2 -SSLv3

# apache ab 2.2.23
SSLProtocol TLSv1 TLSv1.1 TLSv1.2 

# postfix 
smtpd_tls_protocols = !SSLv2, !SSLv3 
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3

# dovecot
ssl_protocols = !SSlv2 !SSLv3

cheers,

s.goodman

edit: postfix

Bewerten
- +
Anzeige