パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN」」記事へのコメント

  • そんなサーバ無いやろ…(管理してるサーバをチェックしつつ)

    • Re: (スコア:2, 参考になる)

      by Anonymous Coward

      OpenSSLは今回のバージョンアップまでデフォルトでSSLv2が有効だったそうな。「対策」とはSSLv2をデフォルトで無効にすること。

      • by Anonymous Coward on 2016年03月04日 19時51分 (#2974836)

        POODLE [wikipedia.org] 問題でSSLv3にさえも仕様そのものに脆弱性が見つかっているわけですし、RFC 6176 [ietf.org], RFC 7568 [ietf.org]の推奨通りSSLv2/SSLv3は廃止すべきだと思うんですがねぇ・・

        親コメント
        • by Anonymous Coward on 2016年03月04日 20時22分 (#2974861)

          LibreSSLやBoringSSLはとっくに廃止してるね。NSSも現在削除パッチを絶賛レビュー中。

          親コメント
          • by Anonymous Coward on 2016年03月04日 22時08分 (#2974908)

            自分が管理している機械で外に向けてTLSを喋るデーモンがリンクするライブラリは
            OpenSSLからLibreSSLにほぼ差し替え終わった。(まだ僅かに残っているが)
            もはやOpenSSLを使ってること自体が結構なリスクだと思う。

            今回の件はOpenBSDチームがOpenSSLの体制や現状にぶち切れた理由そのままで草も生えんわ

            親コメント

最初のバージョンは常に打ち捨てられる。

処理中...