¿Cuál es la mitigación adecuada del lado del servidor para la vulnerabilidad Lucky13 (CVE-2013-0169) en un servidor Windows?

Question

¿Cuál es la mitigación adecuada del lado del servidor para la vulnerabilidad Lucky13 (CVE-2013-0169) en un servidor Windows?

#1 de Bob Ortiz (0 votos)

0

La herramienta testssl.sh declaró que un servidor que probé es vulnerable al Lucky13 (CVE-2013-0169 ) vulnerabilidad. Debajo de la salida de testssl.sh:

###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability 
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers

Yo diría que actualizar OpenSSL lo arreglaría. Pero, esto es Windows Server 2012, por lo que no hay OpenSSL allí. ¿Cuál sería la solución adecuada para mitigar esto?

Estaba pensando en:

Deshabilitando TLS 1.0 por completo;
Eliminación de todos los cifrados de cadena de bloques de cifrado (CBC).

¿Existen otras mitigaciones para Lucky13 y por qué Microsoft no solo solucionó esto con un parche de seguridad?

cryptography encryption vulnerability tls windows-server

pregunta Bob Ortiz 18.07.2017 - 16:15

fuente

1 respuesta

Lea otras preguntas en las etiquetas cryptography encryption vulnerability tls windows-server

Detectabilidad de empaquetar archivos en Windows 10 ¿Certificados diferentes para el mismo sitio web?

score 0 · Accepted Answer

0

Según lo sugerido por @StackzOfZtuff, esto fue un falso positivo de la herramienta testssl.sh .

Confirmado aquí: enlace .

respondido por el Bob Ortiz 12.02.2018 - 12:35

fuente