Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Kto używa OpenSSL przegrał życie ;) na domyślnej konfiguracji można DoSować serwery
Załoga niesłynnego OpenSSL właśnie ogłosiła kolejny bug z krytycznością High – na domyślnych konfiguracjach można odpowiednio przygotowanymi requestami HTTPS wyczerpać dostępną pamięć:
(…) this will eventually lead to a Denial Of Service attack through memory
exhaustion. Servers with a default configuration are vulnerable even if they do
not support OCSP.
Zalecana przez OpenSSL strategia patchowania:
OpenSSL 1.1.0 users should upgrade to 1.1.0a
OpenSSL 1.0.2 users should upgrade to 1.0.2i
OpenSSL 1.0.1 users should upgrade to 1.0.1u
–ms
jeszcze zamiast „domyślnych” można dać „defaultowych”