CVE-2014-3566, important SSLv3 vulnerability, known as Poodle.
Maxim Dounin
mdounin at mdounin.ru
Mon Oct 20 04:13:53 UTC 2014
Hello!
On Sun, Oct 19, 2014 at 07:55:31PM +0300, Gena Makhomed wrote:
> On 17.10.2014 16:24, Maxim Dounin wrote:
>
> >>Кроме самых новых версий Firefox/Chrome на руках и пользователей
> >>остается ведь очень много и других, более старых версий браузеров.
> >>Которые умеют TLSv1 и которым для нормальной работы не нужен SSLv3.
> >
> >Браузер, который не обновляют - это браузер, рассматривать который
> >с точки зрения безопасности достаточно бессмысленно, он всё равно
> >дыряв, так или иначе. И хорошо, если в качестве дырки будет
> >выступать POODLE, а не remote code execution.
> >
> >С точки зрения безопасности имеет смысл рассматривать только
> >актуальные версии современных браузеров. И тут уже, судя по
> >всему, проблема решена как минимум в Chrome и Opera[1], и скоро
> >будет решена в Firefox. Ждём Safari и IE.
> >
> >[1] http://blogs.opera.com/security/2014/10/security-changes-opera-25-poodle-attacks/
> >
>
> Почему оставление включенным по умолчанию уязвимого протокола SSLv3
> выглядит более предпочитетельным вариантом, если "с точки зрения
> безопасности" старых версий браузеров как бы и не существует?
Потому что с точки зрения доступности сервиса - они продолжают
быть.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru