[request for info] дырки в openssl (MITM in TLS/SSL re-negotiation)

0

0

https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-3555
там же информация по уязвимости, мне не совсем понятна сама возможность использования уязвимости. в блоге пишут только про https

"исправления" доступны в виде релиза openssl 0.9.8l , там просто отключили re-negotiation сессии (насколько часто и где это использовалось? есть какая-либо информация?)

Ссылка

←	ноутбук и просыпание

[ненависть!]ArchLinux мотивирует уйти на Ubuntu >_<

→

в рассылке Debain Security что-то тоже про это говорили

drakmail ★★★★
(06.11.09 07:23:11 MSK)

Ссылка

http://www.opennet.ru/opennews/art.shtml?num=24132

f00fc7c8
(06.11.09 09:48:31 MSK)

Ссылка

так по сути кажется разобралась, ошибка в дизайне протокола это конечно интересно (кстати новость вполне могла и должна бы быть на главной....)
остался еще вот такой вопрос, после отключения re-negotiation пострадает ли и как пострадает работа apache mod_ssl, imap, postgres (может еще что можно добавить в список?) ?

Sylvia ★★★★★
(06.11.09 15:16:39 MSK) автор топика