Abuse Melding

Je hebt een klacht over de onderstaande posting:

04-03-2015, 12:54 door Erik van Straten

De bug, CVE-2015-0204 (zie https://www.openssl.org/news/secadv_20150108.txt), betreft oudere versies van OpenSSL, uitsluitend indien gebruikt als client. De kwetsbaarheid bestaat eruit dat de client, hoewel geconfigureerd om geen oude EXPORT ciphers te ondersteunen, die toch blijkt te accepteren. Deze bug heeft niets te maken met servers die OpenSSL gebruiken. Het probleem is dat er ontzettend veel servers slecht geconfigureerd zijn door o.a. nog EXPORT ciphers te ondersteunen. Dat is eenvoudig te testen via https://www.ssllabs.com/ssltest/ of door zelf tools zoals SSLyze te draaien (https://github.com/nabla-c0d3/sslyze). Door de OpenSSL client bug is de volgende MitM (Man-in-the-Middle) aanvalsscenario mogelijk: hoewel de client niet aangeeft EXPORT ciphers te ondersteunen, manipuleert de aanvaller het netwerkpakketje zodanig dat het lijkt of de client uitsluitend EXPORT ciphers ondersteunt, en stuurt dat door naar de server. Indien de server die ook ondersteunt, stuurt de server een bewust korte RSA ...

Beschrijf je klacht (Optioneel):

captcha