błąd

Trywialny błąd pozwalał na nieuprawione pozyskanie certyfikatu SSL [Aktualizacja]

Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny. Podatność została…

Zapowiedź nowej wersji OpenSSL

Od wczoraj na oficjalnej stronie projektu możemy przeczytać zapowiedź wydania kolejnych wersji biblioteki OpenSSL w których wyeliminowano poważną („high” severity) podatność bezpieczeństwa. Błąd dotyczy tylko wersji 1.0.2 i 1.0.1. Bądźcie przygotowani do aktualizacji, której będzie można dokonać już za dwa dni, 9 lipca :-)

Wyłączenie SSL 3.0 fallback w IE i niespodziewany błąd…

W wydanym wczoraj tzw. Patch Tuesday, czyli paczce aktualizacji bezpieczeństwa przeznaczonej dla produktów firmy Microsoft publikowanej w drugi wtorek każdego miesiąca, znalazła się m.in. zmiana będąca pokłosiem głośnej podatności POODLE – wyłączenie SSL 3.0 fallback. Na końcu tego wpisu znajduje się także opis błędu, na który natknąłem się w trakcie jego tworzenia.