انجمن‌های فارسی اوبونتو

خبرها => لینک‌های خبری => نویسنده: بهنام توکلی در 24 مهر 1393، 12:50 ب‌ظ

عنوان: معرفی باگ جدید در SSL : پودل
ارسال شده توسط: بهنام توکلی در 24 مهر 1393، 12:50 ب‌ظ

آسیب پذیری POODLE که امروز منتشر شده است، از یک ضعف در مبنای تئوری SSLv3 استفاده کرده است، نه یک مشکل پیاده سازی. به همین دلیل تنها راه برطرف کردن آن غیر فعال کردن کامل این پروتوکل می‌باشد.

اصل مبنای تئوری این آسیب پذیری توسط Serge Vaudenay در سال ۲۰۰۱ مطرح شده بود، اما او فکر می‌کرده است که امکان استفاده عملی از این آسیب پذیری وجود ندارد. هم اکنون یک روند عملی برای استفاده از این آسیب پذیری مطرح شده است. این روند عملی، اگر چه پیچیده، ولی قطعی است (احتمالی نیست) و فراهم کردن همه‌ی شرایط آن اگر چه نیاز به تلاش بسیاری دارد (و نوشتن یک اسکریپت برای آن شاید سخت باشد) ولی کاملا شدنی است.

... مطالعه متن کامل توضیح فنی آسیب پذیری پودل... (http://bayan.blog.ir/1393/07/23-2)
...مطالعه متن کامل معرفی باگ جدید در SSL : پودل... (http://bayan.blog.ir/1393/07/23-1)

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: محمودی فرد در 24 مهر 1393، 07:15 ب‌ظ

سلام . فکر میکنم firefox v33  در مقابل این اسیب پذیری امن است .  اما qupzilla هنوز ناامن است . چگونه qupzilla را امن کنم(ssl v3 را ببندم ؟ ) 
این سایت هم مثل اینکه نامن است مگر اینکه از  TLS_FALLBACK_SCSV  پشتیبانی کند .
تشخیص آسیب‌پذیری SSL v3 Poodle
http://amn.bayan.ir/poodle (http://amn.bayan.ir/poodle)

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: jackshepherd در 24 مهر 1393، 11:27 ب‌ظ

جالبه.این روزها خبرهای جالبی از امنیت منتشر میشه.امروز اپدیتی برای ssl در ابونتو 14.04 اومد.ایا امکان داره که این مشکل با این اپدیت برطرف شده باشه.؟

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: fzerorubigd در 25 مهر 1393، 12:27 ق‌ظ

این مشکل اصولا حل نمیشه. تعریف SSLV3 از اساس مشکل داره و تنها راهش حذف کردن این پروتکله. از طرفی این باگ وجودش خیلی وقته که مشخصه، منتها تازگیا یه روش عملی برای سواستفاده از این باگ پیدا شده.

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: ح.م در 25 مهر 1393، 12:30 ق‌ظ

یعنی من واقعا احساس امنیت می کنم !  :D اولش openssl بعد bash بعد هم که این ! لابد خبرهای بعدی اینه که کلا باید قید امنیت رو زد  :o

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: jackshepherd در 25 مهر 1393، 07:19 ق‌ظ

نه فکر کنم خبر بعدی باید کلا سیستم هامو خاموش کنیم.

پ.ن:شاید ربطی نداشته باشه ولی ماه پیش یک باگ امنیتی تو اپاچی اندروید کشف شد که از اولین نسخه تا اخرین نسخه بود و کسی از این باگ خبری نداشت.

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: ح.م در 25 مهر 1393، 11:00 ب‌ظ

از کار بندازید این SSL رو
افزونه فایرفاکس (https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/?src=api)

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: سیروس در 26 مهر 1393، 06:41 ب‌ظ

خب این باگ یا سوراخ امنیت کجای سیستم رو به خطر میاندازه؟

عنوان: پاسخ : معرفی باگ جدید در SSL : پودل
ارسال شده توسط: ح.م در 26 مهر 1393، 10:42 ب‌ظ

فرض کن که شما وارد یه سایت بانکی می شی و اطلاعات کارت بانکی تون رو توش وارد می کنید ، خطر این باگ یعنی لو رفتن کارت بانکی شما و دزدیده شدن پول هاتون  :D