The OpenNET Project

 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ twitter

Отключение SSLv2 для защиты сервера от атаки DROWN
Отключаем SSLv2 для защиты от атаки DROWN, позволяющей с MITM-хоста получить
доступ к защищённому каналу связи между клиентом и уязвимым сервером.
Уязвимость проявляется если сервер поддерживает SSLv2 (не важно какой протокол
используется в текущем сеансе, какая реализация библиотеки шифрования
используется и какие протоколы поддерживает клиент).


Отключение SSLv2 в nginx (в версиях 0.7.64, 0.8.18 и младше SSLv2 включен по умолчанию):

   ssl_protocols TLSv1 TLSv1.1 TLSv1.2


Отключение SSLv2 в Apache httpd (в httpd 2.2.x и младше SSLv2 включен по умолчанию ):

   SSLProtocol All -SSLv2 -SSLv3

Отключение SSLv2 в Postfix (в версиях  2.9.13, 2.10.7, 2.11.5, 3.0.1 и младше
SSLv2 включен по умолчанию)):

    smtpd_tls_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3
    lmtp_tls_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_protocols = $smtpd_tls_protocols

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    lmtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    tlsproxy_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols


    smtpd_tls_ciphers = medium
    smtp_tls_ciphers = medium


    smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
    smtpd_tls_eecdh_grade = strong


    smtp_tls_exclude_ciphers =
        EXPORT, LOW, MD5,
        aDSS, kECDHe, kECDHr, kDHd, kDHr,
        SEED, IDEA, RC2
    smtpd_tls_exclude_ciphers =
        EXPORT, LOW, MD5, SEED, IDEA, RC2
 
02.03.2016 , Источник: https://drownattack.com...
Ключи: drown, ssl, tls, attack, block, nginx, apache, postfix / Лицензия: CC-BY
Раздел:    Корень / Безопасность / Шифрование, PGP

Обсуждение [ RSS ]
 
  • 1.1, A, 10:24, 02/03/2016 [ответить] [смотреть все]
  • +/
    Будто бы Postfix - единственный MTA в природе. Писали бы нормально, и для Exim, и для (мы же не только SMTP используем, правда?) Dovecot.
     
  • 1.2, _KUL, 13:20, 02/03/2016 [ответить] [смотреть все]
  • +/
    Может быть лучше обновить библиотеки, чем отключать уязвимые компоненты старых версий?
     
  • 1.3, ALex_hha, 17:50, 02/03/2016 [ответить] [смотреть все]
  • +/
    omg, из криокамеры что ли вышли. Все это нормальные люди отключили еще при poodle
     
     
  • 2.5, asavah, 23:01, 03/03/2016 [^] [ответить] [смотреть все]
  • +/
    абсолютно идентичная мысля проскочила как "это" прочитал
    нормальные люди 100 лет назад уже поотключали эту хрень
     
  • 1.6, xwild, 19:27, 07/03/2016 [ответить] [смотреть все]
  • +/
    Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.
     
     
  • 2.8, uniman_, 09:03, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    >Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа,

    Таки да.

     
  • 1.7, pavlinux, 02:36, 08/03/2016 [ответить] [смотреть все]  
  • +/
    > smtp_tls_exclude_ciphers = EXPORT, LOW, MD5,  aDSS, kECDHe, kECDHr, kDHd, kDHr, SEED, IDEA, RC2
    > smtpd_tls_exclude_ciphers =  EXPORT, LOW, MD5, SEED, IDEA, RC2

    Какой придурок IDEA забанил? А RC4, DES/3DES оставили? Рекомендации от АНБ чтоль?


    >  kECDHe, kECDHr, kDHd, kDHr,

    Вот даже интересно, хоть кто знает, что тут написано и почему это надо отключать?  

     
     
  • 2.9, ALex_hha, 19:53, 13/03/2016 [^] [ответить] [смотреть все]  
  • +/
    > Сколько комментариев и все претензии, давно ничего не спрашиваю на русскоязычных форумах, в основном только самоутверждаются вместо ответа, знаешь чем дополнить, - дополни или молчи. Люди не только статью читают, но и комментарии.

    ибо советовать в 2016 году отключить SSLv2 как то странно и даже без как то

     
  • 1.10, Demon, 09:51, 30/03/2016 [ответить] [смотреть все]  
  • –1 +/
    Вообще бомба теперь уязвимы очень серьезные компании.
     
     
  • 2.13, Аноним, 15:00, 09/04/2016 [^] [ответить] [смотреть все]  
  • +/
    Они всегда были уязвимы По определению, т к цена вопроса окупалась ... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



     Добавить заметку
     Версия для печати
     
     Поиск заметки:
     

    Последние заметки
    - 24.12 Удалённая работа с GTK-приложениями через браузер
    - 09.12 Обход блокировки трафика провайдером при помощи iptables
    - 28.11 Подключаем PHP 7.1 к Oracle в CentOS 7
    - 08.11 Домашний шлюз на Raspberry Pi
    - 28.10 Настройка двойной загрузки Ubuntu и Windows 10
    - 22.09 Снятие показаний электросчетчика средствами OpenWRT
    - 18.09 Отключение LD_PRELOAD в Linux
    - 13.09 Мониторинг MaxScale в Zabbix
    - 07.09 Методы обнаружения ключей OpenPGP
    - 18.08 Обход ограничения по выполнению только подписанных дополнений в Firefox
    RSS | Следующие 15 записей >>



      Закладки на сайте
      Проследить за страницей
    Created 1996-2016 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList