アカウント名:
パスワード:
そんなサーバ無いやろ…(管理してるサーバをチェックしつつ)
OpenSSLは今回のバージョンアップまでデフォルトでSSLv2が有効だったそうな。「対策」とはSSLv2をデフォルトで無効にすること。
POODLE [wikipedia.org] 問題でSSLv3にさえも仕様そのものに脆弱性が見つかっているわけですし、RFC 6176 [ietf.org], RFC 7568 [ietf.org]の推奨通りSSLv2/SSLv3は廃止すべきだと思うんですがねぇ・・
LibreSSLやBoringSSLはとっくに廃止してるね。NSSも現在削除パッチを絶賛レビュー中。
自分が管理している機械で外に向けてTLSを喋るデーモンがリンクするライブラリはOpenSSLからLibreSSLにほぼ差し替え終わった。(まだ僅かに残っているが)もはやOpenSSLを使ってること自体が結構なリスクだと思う。
今回の件はOpenBSDチームがOpenSSLの体制や現状にぶち切れた理由そのままで草も生えんわ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ見習い
いまさらSSL v2有効なんて (スコア:0)
そんなサーバ無いやろ…(管理してるサーバをチェックしつつ)
Re: (スコア:2, 参考になる)
OpenSSLは今回のバージョンアップまでデフォルトでSSLv2が有効だったそうな。「対策」とはSSLv2をデフォルトで無効にすること。
Re:いまさらSSL v2有効なんて (スコア:5, 参考になる)
POODLE [wikipedia.org] 問題でSSLv3にさえも仕様そのものに脆弱性が見つかっているわけですし、RFC 6176 [ietf.org], RFC 7568 [ietf.org]の推奨通りSSLv2/SSLv3は廃止すべきだと思うんですがねぇ・・
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
LibreSSLやBoringSSLはとっくに廃止してるね。NSSも現在削除パッチを絶賛レビュー中。
Re:いまさらSSL v2有効なんて (スコア:2, 参考になる)
自分が管理している機械で外に向けてTLSを喋るデーモンがリンクするライブラリは
OpenSSLからLibreSSLにほぼ差し替え終わった。(まだ僅かに残っているが)
もはやOpenSSLを使ってること自体が結構なリスクだと思う。
今回の件はOpenBSDチームがOpenSSLの体制や現状にぶち切れた理由そのままで草も生えんわ