forum.opennet.ru

Составление сообщения

Исходное сообщение

"Представлен эксплойт, способный блокировать работу любого SS..."
Отправлено Feerik, 27-Окт-11 11:36

>> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось
>> и почему он может не сработать, или твои комментарии вообще ниачем.
> SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения
> не создаются и conntrack отловит только один коннект.
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html
"SSLInsecureRenegotiation Directive
Description:    Option to enable support for insecure renegotiation
Syntax:    SSLInsecureRenegotiation flag
Default:    SSLInsecureRenegotiation off
Context:    server config, virtual host
Status:    Extension
Module:    mod_ssl
Compatibility:    Available in httpd 2.2.15 and later, if using OpenSSL 0.9.8m or later
As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server.
If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension. If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely."
Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2, SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений в одном. Я не прав?
Причем хочу заметить, а меня версия апача 2.2 под убунтой 10.04, не могу быть уверенным, но помоему у последнего стабильного дебиана, шестой шапки, у них у всех апач не ниже 2.2.
Выполняю команду:
# grep SSLInsecureRenegotiation /etc/apache2/mods-available/ssl.conf
в ответ получаю тишину, значит у меня задано дефолтное значение для SSL-Renegotiation, т.е. выключен. Если кто сомневается, может в ssl.conf своего апача прописать что-то вроде:
SSLInsecureRenegotiation off
Чтоб уж наверняк выключить, зафаерволиться и все наверно, нет?

Исходное сообщение
"Представлен эксплойт, способный блокировать работу любого SS..." Отправлено Feerik, 27-Окт-11 11:36
>> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось >> и почему он может не сработать, или твои комментарии вообще ниачем. > SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения > не создаются и conntrack отловит только один коннект. http://httpd.apache.org/docs/2.2/mod/mod_ssl.html "SSLInsecureRenegotiation Directive Description: Option to enable support for insecure renegotiation Syntax: SSLInsecureRenegotiation flag Default: SSLInsecureRenegotiation off Context: server config, virtual host Status: Extension Module: mod_ssl Compatibility: Available in httpd 2.2.15 and later, if using OpenSSL 0.9.8m or later As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server. If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension. If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely." Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2, SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений в одном. Я не прав? Причем хочу заметить, а меня версия апача 2.2 под убунтой 10.04, не могу быть уверенным, но помоему у последнего стабильного дебиана, шестой шапки, у них у всех апач не ниже 2.2. Выполняю команду: # grep SSLInsecureRenegotiation /etc/apache2/mods-available/ssl.conf в ответ получаю тишину, значит у меня задано дефолтное значение для SSL-Renegotiation, т.е. выключен. Если кто сомневается, может в ssl.conf своего апача прописать что-то вроде: SSLInsecureRenegotiation off Чтоб уж наверняк выключить, зафаерволиться и все наверно, нет?

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру