Это не такой-уж былинный зашквар, но всё-же написать о нём стоит.

Оно самое

Кто-то еще использует SSLv2? я думал уже все давно на v3 сидят

Вообще-то TLS, SSLv3 вроде уже тоже считается не очень кошерным.
Проблема в том что много где использование SSLv2 не запрещено.
«Согласно исследованию, 25% из миллиона самых посещаемых веб-сайтов подвержены этой уязвимости». Вот несколько примеров https://drownattack.com/top-sites.html

былинный зашквар

может пронесет?

Яж говорю, «не такой-уж былинный зашквар». Ещё один способ для АНБ расшифровать трафик врагов Америки. Ну может сотня-другая кулхацкеров расшифруют трафик соседа и украдут его пароль от вконтактика. Плохо конечно, но это даже близко не heartbleed какой-нибудь.

Да сколько там еще уязвимостей? До винды конечно не дотянет, 10ка один сплошной анальный вход, но все-равно неприятненько.

РЕШЕТО?

Что же это за решето такое? Так меня точно рано или поздно хакнут, если забухаю и не обновлю сервер.

Спасибо tailgunner за допил новости до вменяемого вида.

РЕШЕТО?

Зато нашли и исправили быстро.

В ноде ssl2 выпилен давно, если что. =)

- What happened with the OpenSSL?

- It drowned.

А вам не кажется, что это проблема протокола, а не его реализации в виде OpenSSL. Другое дело, что возможно реализацию SSLv2 отовсюду, кроме OpenSSL уже выпилили. Хотя я не уверен.

Ваш нод32 недавно очень плющило https://goo.gl/TvCzH9

А при чём тут антивирус?

Проблему также можно обойти, отключив поддержку SSLv2 в приложениях.

А есть кто-то, кто ещё полтора года назад не выключил?

SSLv2

Оно где-то используется? Вроде даже SSLv3 активно закапывают.

Второй нах DROWN — новая уязвимость в OpenSSL (комментарий)

А есть кто-то, кто ещё полтора года назад не выключил?

«While 11% of HTTPS servers with browser-trusted certificates are directly vulnerable to DROWN, another whopping 11% fall victim through some other service»

Чет зачастили...

уже лет 5 как везде sslv2 повыпиливал

Какой коту под хвост нод32? Я про Node.js вообще-то.

Что, опять пересобирать? да они надоели

11% вполне оптимистично выглядят. Особенно если начать урлы банк-клиентов в ssllabs.com/ssltest проверять.

Гентушники должны страдать

Такое чувство, что это уже было. Интересно, кому вообще пришла светлая мысль оставить заведомо слабые алгоритмы?

Прошу прощения, не о том подумал или вообще не подумал :)

Во имя совместимости.

Ребята! Спокойствие! Только спокойствие!

Чем уязвимостей больше — тем их меньше!

если начать урлы банк-клиентов в ssllabs.com/ssltest проверять

Если банк хоть как-то работает с международными платежными системами, то уже давно должен был перейти на TLS. Даже TLS 1.0 уже выпиливают из PCI DSS, было требование перейти на 1.1+ до июня 2016 года. Правда срок продлили из-за всяких древних андроидов типа ICS, которые ничего лучше 1.0 не умеют.

ещё как пронесёт! будем быстро бегать, низко приседая.

Использовать SSLv2? вы серьёзно? Я бы даже уязвимостью постеснялся это назвать.

когда бухаешь, стартуй крон. когда не бухаешь, можно даже не останавливать. или у тебя LFS?

когда бухаешь, стартуй крон.

На автомате обновлять... еще хз что хуже, гипотетическая вероятность что хакнут или обнова поломает.

Вот ты знаешь, как должно быть. Кто тебе мешает посмотреть как оно там у них по факту?

У банков, услугами которых я пользуюсь, всё хорошо. И не набирают они A+ только потому, что кто-то не умеет OCSP stapling, кто-то HSTS, а у кого-то корень от thawte подписан SHA1.

Если твои не соответствуют требованиям PCI DSS — накапай на них Визе или Мастеркарду. Те сперва штрафуют, а только потом разговаривают.

А что с проектом libressl?

Мои соответствуют. Но мне же и другие любопытно.

исправили быстро от момента, когда опубликовали... а когда нашли и сколько ее эксплуатировали до того как опубликовали - никто не знает ...

Я повторю, ладно? Если банк работает с международными платежными системами, он должен проходить сертификацию на соответствие PCI DSS, где черным по-английски написано: не ниже TLS 1.0, переход на TLS не ниже 1.1 по первому же требованию.

При этом проверки постоянные, и «китайских предупреждений» не существует — сразу штраф. И это касается не только банков, но и всех мерчантов, кроме самых мелких.

А уж о такой древности, как SSLv2 и экспортные шифры не слышали уже много-много лет.

Особенно если начать урлы банк-клиентов в ssllabs.com/ssltest проверять.

https://www.ssllabs.com/ssltest/analyze.html?d=online.sberbank.ru

TLS 1.2 	Yes
TLS 1.1 	Yes
TLS 1.0 	Yes
SSL 3 	No
SSL 2 	No

Раз весна началась с новой уязвимости в OpenSSL, то значит всё в порядке. Ждём новых уязвимостей к 1 июня, 1 сентября и т.д. Потом их нахождение/изготовление можно освоить и к праздникам, дням получки и аванса.

А, так из-за этого у меня Mozilla не работает?

с утра сегодня вышел в нет, только некоторые сайты открывает. На остальных - Мозилла не знает как связаться с сервером, убедитесь что у вас установлен Менеджер личной защиты (PSM). Сам этот менеджер стоит, OpenSSL тоже, но браузер все равно не работает. Дистрибутив OpenSUSE 13.2, Мозилла 44.

Мне понравилось. Давай ещё раз.

как будто вручную ты диффы смотришь)

Нет, но систему проверяю. А если «оно само» при этом ты не первый день «в слюни» и планируешь еще несколько дней так же продолжать, как-то нехорошо может получиться :)

Мозилла 44.

Фи, мозилла 44. Вот у меня недавно ЛОР опера12 перестала открывать, пришлось обновить до 12.17

Выпущены обновления, которые отключают поддержку SSLv2 по умолчанию и удаляют шифры EXPORT

Не понимаю, почему это не сделали в прошлом тысячелетии. Ну или хотя бы сразу после принятия AES

кому вообще пришла светлая мысль оставить заведомо слабые алгоритмы

Агенству Национальной Безопасности США. (Нет, ну серьёзно)