Lo strumento testssl.sh ha dichiarato che un server che ho testato è vulnerabile a Lucky13 (CVE-2013-0169 ) vulnerabilità. Sotto l'output testssl.sh:
###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
Direi che l'aggiornamento di OpenSSL lo risolverebbe. Ma questo è Windows Server 2012, quindi non ci sono OpenSSL. Quale sarebbe la correzione corretta al fine di mitigare questo?
Stavo pensando a:
- Disabilitazione di TLS 1.0 interamente;
- Rimozione di tutte le cifrature CBC (cipher block chaining)
Esistono altre attenuazioni per Lucky13 e perché Microsoft non ha solo risolto questo problema con una patch di sicurezza?