Drown, nuevo fallo de ssl

Acaban de soltar una nueva vulnerabilidad sobre ssl (CVE-2016-0800)) que, según parece, afecta a muchos miles de webs que siguen usando ssl v2. Aun no hay mucha información (la vulnerabilidad se descubrió en diciembre del 2015 y acaba de ser publicada).


Acaban de soltar una nueva vulnerabilidad sobre ssl (CVE-2016-0800)) que, según parece, afecta a muchos miles de webs que siguen usando ssl v2. Aun no hay mucha información (la vulnerabilidad se descubrió en diciembre del 2015 y acaba de ser publicada).
Ya hay parches … así que … los que puedan que parcheen lo antes posible … y los demás tendremos que esperar a que los fabricantes de turno saquen las actualizaciones (si es que las sacan) y cruzar los dedos (y mirar los logs) para ver si somos víctimas.

Hay que decirlo mas alto … ME CAGO EN LA RETROCOMPATIBILIDAD …

Han creado un sitio para comprobar si eres vulnerable.

drown attack

https://test.drownattack.com/

Mas información:

https://www.openssl.org/news/secadv/20160301.txt
http://www.zdnet.com/article/dont-let-your-openssl-secured-web-sites-drown/
https://ssrg.nicta.com.au/projects/TS/cachebleed/cachebleed.pdf

Así que … aprovechando el rato …

The following packages will be upgraded:
libssl-dev libssl-doc libssl1.0.0 openssl
4 to upgrade, 0 to newly install, 0 to remove and 0 not to upgrade.
Need to get 3,355 kB of archives.

Comments are closed.