Re: TLS пересогласование

Alex Sergeyev asergeyev на dyn.com
Вт Авг 10 22:03:44 MSD 2010


Да, версии до 0.9.8l подвержены проблеме, 0.9.8m частично может делать
secure renegotiation, наверное стоит обновляться до новейшей версии
всё-таки, кто знает что там ещё исправлено

Описание атаки:
http://www.educatedguesswork.org/2009/11/understanding_the_tls_renegoti.html



On Wed, 2010-08-11 at 00:45 +0700, Igor Vavrjin wrote:
> Здравствуйте, Gena.
> 
> Вы писали 11 августа 2010 г., 0:35:55:
> 
> > On 10.08.2010 20:11, Igor Vavrjin wrote:
> 
> >> Опера   10.60  при  https  соединении  говорит  вот  это:  "Сервер  не
> >> поддерживает   безопасное   пересогласование   TLS.   Владельцу  сайта
> >> желательно обновить сервер."
> >>
> >> Что  бы  это могло означать? Это проблема nginx или проблема оперы :)?
> >> Просто как-то не солидно выглядит.
> 
> > server does not support RFC 5746, see CVE-2009-3555
> 
> >> PS версия nginx 0.8.46
> >> SSL сертификат подтвержденный.
> 
> > при сборке nginx надо использовать OpenSSL библиотеку,
> > в которой нет этой уязвимости, сам nginx тут ни при чем.
> 
> 
> Чтобы  собрать  nginx с модулем ssl необходима библиотека OpenSSL, так
> что он собран с ее помощью, видимо она какая-то устаревшая или как?
> 





Подробная информация о списке рассылки nginx-ru