Qual è la corretta attenuazione lato server per la vulnerabilità di Lucky13 (CVE-2013-0169) su un server Windows?

0

Lo strumento testssl.sh ha dichiarato che un server che ho testato è vulnerabile a Lucky13 (CVE-2013-0169 ) vulnerabilità. Sotto l'output testssl.sh:

###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability 
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers

Direi che l'aggiornamento di OpenSSL lo risolverebbe. Ma questo è Windows Server 2012, quindi non ci sono OpenSSL. Quale sarebbe la correzione corretta al fine di mitigare questo?

Stavo pensando a:

  • Disabilitazione di TLS 1.0 interamente;
  • Rimozione di tutte le cifrature CBC (cipher block chaining)

Esistono altre attenuazioni per Lucky13 e perché Microsoft non ha solo risolto questo problema con una patch di sicurezza?

    
posta Bob Ortiz 18.07.2017 - 16:15
fonte

1 risposta

0

Come suggerito da @StackzOfZtuff, questo era un falso positivo dello strumento testssl.sh .

Confermato qui: link .

    
risposta data 12.02.2018 - 12:35
fonte