Che cosa rende i server vulnerabili al ritorno dell'account Oracle Threat (ROBOT) di Bleichenbacher?

Il server è vulnerabile a Return Of Bleichenbacher's Oracle Threat (ROBOT) solo se è ospitato su un software del fornitore con bug di implementazione RSA e server supporta crittografie con scambio di chiavi RSA .

Vedi l'elenco dei noti fornitori vulnerabili e patch link

Nota: non tutti i server che supportano lo scambio di chiavi RSA sono vulnerabili. Tuttavia, si consiglia di disabilitare le crittografie per scambio di chiavi RSA in quanto non supporta la segretezza in avanti.

Gravità dei robot Gravità:

Per gli host vulnerabili e che supportano solo gli scambi di chiavi di crittografia RSA, si tratta di una grave vulnerabilità. Un utente malintenzionato può registrare passivamente il traffico e decrittografarlo in seguito.

Passaggi per la mitigazione:

Idealmente, è necessario seguire entrambi i passaggi di mitigazione.

1. Aggiorna il tuo server; le patch sono fornite dalla maggior parte dei venditori. Se toppa il tuo server sei immune alla vulnerabilità di ROBOT.

Nota: se la patch non è disponibile presso il fornitore, è possibile attenuare il 2 ° passo.

2. Disabilita le cifrature per lo scambio di chiavi RSA (consigliato): Ma se vuoi mantenere il supporto per i cifrari di scambio di chiavi RSA. Il tuo server dovrebbe almeno supportare la segretezza avanzata con i browser moderni. (mantieni la password RSA valida)

Identificazione dei codici di scambio delle chiavi RSA:

1. Labs SSL utilizza il formato TLS_ *. Questo significa che tutte le cifre iniziano con "TLS_RSA" nel rapporto.
2. OpenSSL utilizza la convenzione di denominazione diversa. Tutte le cifre con "Kx = RSA"