Qual è la corretta attenuazione lato server per la vulnerabilità di Lucky13 (CVE-2013-0169) su un server Windows?

Question

Qual è la corretta attenuazione lato server per la vulnerabilità di Lucky13 (CVE-2013-0169) su un server Windows?

#1 da (0 voti)

0

Lo strumento testssl.sh ha dichiarato che un server che ho testato è vulnerabile a Lucky13 (CVE-2013-0169 ) vulnerabilità. Sotto l'output testssl.sh:

###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability 
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers

Direi che l'aggiornamento di OpenSSL lo risolverebbe. Ma questo è Windows Server 2012, quindi non ci sono OpenSSL. Quale sarebbe la correzione corretta al fine di mitigare questo?

Stavo pensando a:

Disabilitazione di TLS 1.0 interamente;
Rimozione di tutte le cifrature CBC (cipher block chaining)

Esistono altre attenuazioni per Lucky13 e perché Microsoft non ha solo risolto questo problema con una patch di sicurezza?

cryptography encryption tls vulnerability windows-server

posta Bob Ortiz 18.07.2017 - 16:15

fonte

1 risposta

Leggi altre domande sui tag cryptography encryption tls vulnerability windows-server

Shell idle log out time best practice? Problema relativo ai cookie sullo stesso server con dominio diverso

score 0 · Accepted Answer

0

Come suggerito da @StackzOfZtuff, questo era un falso positivo dello strumento testssl.sh .

Confermato qui: link .

risposta data 12.02.2018 - 12:35

fonte