https://www.viestintavirasto.fi/tietoturva/tietoturvanyt/2014/10/ttn201410151412.html
Toimintaa, toimintaa oitis.
Viestintäviraston selain turva-ohjeita
kaikki huomio
45
209
Vastaukset
- voivoipässejä
Eipä tunnu ketään kiinnostavan.
- hff986776ee
"Nyt paljastunut hyökkäys perustuu siihen, että selainliikenne pakotetaan käyttämään vanhaa SSL 3.0-protokollaa uudempien TLS-protokollien sijaan. Hyökkäys kuitenkin edellyttää ns. välimiesasemaa (Man-in-the-Middle), jossa hyökkääjä pääsee kuuntelemaan ja muokkaamaan uhrin ja palvelimen välistä verkkoliikennettä. Tällainen tilanne saattaa syntyä esimerkiksi suojaamatonta langatonta lähiverkkoa käytettäessä."
Käytän langallista laajakaistaa. Tarviiko minun tehdä mitään?Kyllä niitä johtojakin voi kuunnella joten jos ihan varman päälle haluaa pelata niin kannattaahan noin pieni ja yksinkertainen selainasetus tehdä. IE:ssä riitti yhden ainoan ruksin poisto.
- hff986776ee
f.e.dzerzhinsky kirjoitti:
Kyllä niitä johtojakin voi kuunnella joten jos ihan varman päälle haluaa pelata niin kannattaahan noin pieni ja yksinkertainen selainasetus tehdä. IE:ssä riitti yhden ainoan ruksin poisto.
Tuleeko noihin päivitykset jotka korjaa ongelman?
En nimittäin käy millään ihme sivustoilla, joten ei ole akuuttia tarvetta tehdä mitään. "Käytän langallista laajakaistaa. Tarviiko minun tehdä mitään?"
Kyllä siihenkin voi päästä väliin.hff986776ee kirjoitti:
Tuleeko noihin päivitykset jotka korjaa ongelman?
En nimittäin käy millään ihme sivustoilla, joten ei ole akuuttia tarvetta tehdä mitään.Oletettavasti vuoden sisällä on joka paikaista korjattu.
hff986776ee kirjoitti:
Tuleeko noihin päivitykset jotka korjaa ongelman?
En nimittäin käy millään ihme sivustoilla, joten ei ole akuuttia tarvetta tehdä mitään."Tuleeko noihin päivitykset jotka korjaa ongelman? "
Ei tule. Kyseessä ei ole mikään varsinainen korjattavissa oleva bugi vaan ikiwanhan protokollan heikkous jota ei voi korjata muulla tavalla kuin lopettaa sen käyttäminen kokonaan.M-Kar kirjoitti:
Oletettavasti vuoden sisällä on joka paikaista korjattu.
Siis ainoa "korjaus" on se että tulevat selainversiot eivät enää tue SSL3:a ainakaan oletusasetuksilla.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/- 77yytytyt
f.e.dzerzhinsky kirjoitti:
"Tuleeko noihin päivitykset jotka korjaa ongelman? "
Ei tule. Kyseessä ei ole mikään varsinainen korjattavissa oleva bugi vaan ikiwanhan protokollan heikkous jota ei voi korjata muulla tavalla kuin lopettaa sen käyttäminen kokonaan.Kyllä tulee. Jopa Firefoxin lisäosa kertoo että:
"Soon to be disabled by default."
Tarviiko noihin muihin selaimiin tehdä muutoksia? Firefoxia käytän surffaamiseen. 77yytytyt kirjoitti:
Kyllä tulee. Jopa Firefoxin lisäosa kertoo että:
"Soon to be disabled by default."
Tarviiko noihin muihin selaimiin tehdä muutoksia? Firefoxia käytän surffaamiseen."Soon to be disabled by default."
Google käännös: "Pian oletuksena pois päältä"
Eli Firefox korjataan niin että koko SSL3 lakkaa toimimasta oletusasetuksilla tulevissa Firefoxeissa joka onkin ainoa mahdollinen "korjaus" jonka voi tehdä. Varmaan muutkin seuraavat perässä mutta sitä ennen voi tehdä näin:
Tästä ruksi pois niin homma on hoidettu http://aijaa.com/QRpQs6- 6767hhhggh
f.e.dzerzhinsky kirjoitti:
"Soon to be disabled by default."
Google käännös: "Pian oletuksena pois päältä"
Eli Firefox korjataan niin että koko SSL3 lakkaa toimimasta oletusasetuksilla tulevissa Firefoxeissa joka onkin ainoa mahdollinen "korjaus" jonka voi tehdä. Varmaan muutkin seuraavat perässä mutta sitä ennen voi tehdä näin:
Tästä ruksi pois niin homma on hoidettu http://aijaa.com/QRpQs6Mutta tarviiko sitä tehdä, käytän Firefoxia surffaamiseen?
6767hhhggh kirjoitti:
Mutta tarviiko sitä tehdä, käytän Firefoxia surffaamiseen?
Tuo http://aijaa.com/QRpQs6 poistaa ongelman vain IE:stä. Firefoxille on omat ohjeet.
- FF33....
6767hhhggh kirjoitti:
Mutta tarviiko sitä tehdä, käytän Firefoxia surffaamiseen?
Ei tarvitse, kun käytät Firefoxia.
- 6767hhhggh
f.e.dzerzhinsky kirjoitti:
Tuo http://aijaa.com/QRpQs6 poistaa ongelman vain IE:stä. Firefoxille on omat ohjeet.
Firefoxin korjaava lisäosa on jo ladattu, voinko siis jättää muut selaimet huomiomatta koska en juuri niitä käytä?
Onko kellään tietoa koska tämä on default asetuksena selaimessa, eli koska voi tämän Firefoxin lisäosan poistaa? FF33.... kirjoitti:
Ei tarvitse, kun käytät Firefoxia.
Kyllä tarvitsee jos haluaa haavoittuvan SSL3:n pois käytöstä.
http://kb.mozillazine.org/Security.tls.version.*
Vasta tulevassa Firefox 34:ssä ei enää tarvitse.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/6767hhhggh kirjoitti:
Firefoxin korjaava lisäosa on jo ladattu, voinko siis jättää muut selaimet huomiomatta koska en juuri niitä käytä?
Onko kellään tietoa koska tämä on default asetuksena selaimessa, eli koska voi tämän Firefoxin lisäosan poistaa?"...koska tämä on default asetuksena selaimessa..."
On. Tulevassa 34:ssä on jo kunnossa.f.e.dzerzhinsky kirjoitti:
Siis ainoa "korjaus" on se että tulevat selainversiot eivät enää tue SSL3:a ainakaan oletusasetuksilla.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/Niin, eli vuoden sisällä korjattu. Siinä ajassa joka selaimesta on uudempi versio.
f.e.dzerzhinsky kirjoitti:
Kyllä tarvitsee jos haluaa haavoittuvan SSL3:n pois käytöstä.
http://kb.mozillazine.org/Security.tls.version.*
Vasta tulevassa Firefox 34:ssä ei enää tarvitse.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/Juu, siinä menee vielä 1.5kk ennen kuin tuo julkaistaan. Ja itse just päivitin viimeisen Firefox 24 ESR:n -> 31 ESR:n jolla menee varmaan noin vuosi.. Eli ei tuo ongelma hetkessä katoa ellei siihen reagoi.
- 6767hhhggh
f.e.dzerzhinsky kirjoitti:
Kyllä tarvitsee jos haluaa haavoittuvan SSL3:n pois käytöstä.
http://kb.mozillazine.org/Security.tls.version.*
Vasta tulevassa Firefox 34:ssä ei enää tarvitse.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/Tarkoitti varmaan sitä ettei muita selaimia kuin Firefox tarvi huomioda, jollein niillä mulla surffaa.
Onko näin? 6767hhhggh kirjoitti:
Tarkoitti varmaan sitä ettei muita selaimia kuin Firefox tarvi huomioda, jollein niillä mulla surffaa.
Onko näin?Juu, juuri noin.
- ei voida tietää
M-Kar kirjoitti:
Niin, eli vuoden sisällä korjattu. Siinä ajassa joka selaimesta on uudempi versio.
No eipä esim. vistan ie:hen ole tullut uusia versioita enään aikoihin. tueelko enään seiskallekaan vai jääkö IE11 viimeiseksi.
ei voida tietää kirjoitti:
No eipä esim. vistan ie:hen ole tullut uusia versioita enään aikoihin. tueelko enään seiskallekaan vai jääkö IE11 viimeiseksi.
Joo, totta. Toki sellainen "korjaus" / korjaus voi tulla Windows Updateen jakoon että se poistaa SSL3:n pois käytöstä kaikissa IE versioissa joka riittää tämän ongelman ratkaisuksi.
- FF33....
f.e.dzerzhinsky kirjoitti:
Kyllä tarvitsee jos haluaa haavoittuvan SSL3:n pois käytöstä.
http://kb.mozillazine.org/Security.tls.version.*
Vasta tulevassa Firefox 34:ssä ei enää tarvitse.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/Jos käytät Firefoxia, ei sinun tarvitse säätää toisia selaimia. Tuota kait kysyjä tarkoitti...
FF33.... kirjoitti:
Jos käytät Firefoxia, ei sinun tarvitse säätää toisia selaimia. Tuota kait kysyjä tarkoitti...
Ok. Pitää paikkansa, vain sitä selainta tarvitsee säätää jota käyttää.
ei voida tietää kirjoitti:
No eipä esim. vistan ie:hen ole tullut uusia versioita enään aikoihin. tueelko enään seiskallekaan vai jääkö IE11 viimeiseksi.
Nuo on antiikkia muutenkin. Windows Vistan tuki kyllä loppuu vuoden vaihteessa 2017, eli jos tuon haluaa huomioida niin reilu vuosi. Sittenhän se Vista pitäisi irrottaa julkisesta verkosta.
- hff986776ee
Joo, mutta tuleeko noihin selaimiin päivitysksiä jotka korjaa asian. Tuntuu olevan ilmassa sitä että saa tehdä 150 asiaa että selain/kone on ok.
- ff986776
Ei riitänyt tuo määrä eilen Win 7:n päivityksissä.
Sellainen korjaus tulee että koko SSL3 lakkaa jossain vaiheessa kokonaan toimimasta.
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
"..150 asiaa että selain/kone on ok."
Yhden ainoan ruksin poisto riitti IE:ssä."Joo, mutta tuleeko noihin selaimiin päivitysksiä jotka korjaa asian."
Vuoden sisällä pitäisi olla kunnossa. Sen aikaa on vaarallista jos ei säädä.
"Tuntuu olevan ilmassa sitä että saa tehdä 150 asiaa että selain/kone on ok."
Kyllä, aina on noin sen verran asioita ja muuttuu kokoajan. Noin 5pv välein jostain päin löytyy turvareikä johon pitäisi reagoida ja näin on ollut niin kauan kun koneet kytkettiin nettiin.
- Joillakin ruksit ots
Eipä huolta jos käyttää Ubuntua. Siellä on jo oletuksena
"Vaihtoehtoisesti Firefoxin asetussivulta (about:config) voi asettaa avaimen security.tls.version.min arvoon 1."
Vastaava asetus näyttää:
security.tls.version.min;0
Ei edes tarvi poistella tyhjää.Jos oletusasetus on "security.tls.version.min;0" joka näyttää olevan FF:n oletusasetus niin säätöä täytyy tehdä.
"0
SSL 3.0 is the minimum required / maximum supported encryption protocol. (This is the current default for the minimum required version.) "
http://kb.mozillazine.org/Security.tls.version.*
Miten joku ubuntu nyt liittyy tähän koko asiaan yhtään mitenkään?- tietokonetta vääntän
f.e.dzerzhinsky kirjoitti:
Jos oletusasetus on "security.tls.version.min;0" joka näyttää olevan FF:n oletusasetus niin säätöä täytyy tehdä.
"0
SSL 3.0 is the minimum required / maximum supported encryption protocol. (This is the current default for the minimum required version.) "
http://kb.mozillazine.org/Security.tls.version.*
Miten joku ubuntu nyt liittyy tähän koko asiaan yhtään mitenkään?Niin eipä siinä (Ubuntu) ole mitään tietoturva ongelmia muutenkaan.
Toisekseen ei kai winukka intoilijat Ubuntusta mitään ymmärrä ollenkaan. Joten miksi tuollaisella vaivaat päätäsi?
Keskity vain olennaiseen. tietokonetta vääntän kirjoitti:
Niin eipä siinä (Ubuntu) ole mitään tietoturva ongelmia muutenkaan.
Toisekseen ei kai winukka intoilijat Ubuntusta mitään ymmärrä ollenkaan. Joten miksi tuollaisella vaivaat päätäsi?
Keskity vain olennaiseen.Tämä POODLE haavoittuvuus koskee aivan täysimääräisesti myös ubuntua kun ubuntun oletus-selain on Firefox joka hyväksyy vielä oletusasetuksilla SSL3 suojausprotokollan joka on haavoittuva.
- Ubuntu-aloittelija
f.e.dzerzhinsky kirjoitti:
Tämä POODLE haavoittuvuus koskee aivan täysimääräisesti myös ubuntua kun ubuntun oletus-selain on Firefox joka hyväksyy vielä oletusasetuksilla SSL3 suojausprotokollan joka on haavoittuva.
Kerro mihin asentoon tuo pitää vääntää Ubuntussa.
Ubuntu-aloittelija kirjoitti:
Kerro mihin asentoon tuo pitää vääntää Ubuntussa.
Askubuntu foorumilla on hyvät ohjeet ongelman korjaamiseksi ubuntussa ja taustatietoa tästä haavoittuvuudesta ubuntua koskien:
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566Ubuntu-aloittelija kirjoitti:
Kerro mihin asentoon tuo pitää vääntää Ubuntussa.
Tässä koko korjaus pähkinänkuoressa jos käytät Firefoxia ubuntussasi : http://aijaa.com/RXbFjX
tietokonetta vääntän kirjoitti:
Niin eipä siinä (Ubuntu) ole mitään tietoturva ongelmia muutenkaan.
Toisekseen ei kai winukka intoilijat Ubuntusta mitään ymmärrä ollenkaan. Joten miksi tuollaisella vaivaat päätäsi?
Keskity vain olennaiseen."Niin eipä siinä (Ubuntu) ole mitään tietoturva ongelmia muutenkaan."
Kyllä on. Sekin tarvitsee säännöllistä ylläpitoa ja turvareikien tukkimista. Toki sitä voi automatisoida, kuten Windows 8.x:ää voi myös.
Windows 7 kyllä vaatii todella paljon manuaalista hyysäystä.Ubuntu-aloittelija kirjoitti:
Kerro mihin asentoon tuo pitää vääntää Ubuntussa.
security.tls.version.min;0 -> 1
Korjaantuu kyllä 1.5kk kuluttua päivityksissä. Voisi kuvitella, että IE12 tulee myös pian ja että olisi siitä korjattu.
- päivitä javasi
Tiedoksi tämäkin:
"Oracle julkaisi 155 päivitystä 44 eri tuotteeseensa. Päivityksistä 25 koskee huonosta tietoturvasta usein arvosteltua Java-ohjelmistoa."
Kuka vielä jaksa uskoa Javan turvallisuuteen?Javalla ei ole juurikaan tekemistä selaimen kanssa.
Tuota Javaa päivitettiin viimeeksi 3kk sitten, eli rykäisivät nyt vähän enemmän yhdellä kertaa. Saa vapaasti katsoa mitä ovat korjanneet sieltä, että onko niissä sovelluksissa mitä itse käyttää, mitään sellaista mikä liikuttaisi millään tavalla omaa käyttöä.
- fox-fox
Luin ketjun, mutta en löytänyt vastausta siihen miten tuon haavoittuvuuden voi korjata Foxissa. Jokin lisäpalikan asennus?
IE on varaselaimena ja siihen tein eilen tarvittavan muutoksen, täppi vain pois ko. kohdasta.- toni.
lisäpalikka firefoxiin https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
http://ra.fi/IT19 - valhetta piisaa?
@ Fox-fox
Olisit vaivautunut lukemaan aloituksen linkin,
sieltä olisi selvinnyt. - fox-fox
toni. kirjoitti:
lisäpalikka firefoxiin https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
http://ra.fi/IT19Thank's. Palikka on nyt asennettuna ja turvatilanne optimoituna.
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Voitasko leikkiä jotain tunnisteleikkiä?
Tietäisi ketä täällä käy kaipaamassa.. kerro jotain mikä liittyy sinuun ja häneen eikä muut tiedä. Vastaan itsekin kohta852228- 491926
Tietysti jokainen ansaitsee
Hän varmasti ansaitsee vain parasta ja sopivinta tietenkin, suon sen onnen hänelle enemmän kuin mielelläni. Aika on nyt231838Jotain puuttuu
Kun en sinua näe. Et ehkä arvaisi, mutta olen arka kuin alaston koivu lehtiä vailla, talven jäljiltä, kun ajattelen sinu74162550+ naiset kyl
Lemottaa sillille mut myös niitte kaka lemottaa pahlle ku kävin naiste veskis nuuhiin101588- 771492
hieman diabetes...
Kävin eilen kaverin kanssa keskusapteekissa kun on muutama kuukausi sitten tullut suomesta ja oli diabetes insuliinit lo241393Välitän sinusta mies
Kaikki mitä yritin kertoa tänään ei mennyt ihan putkeen..Joka jäi jälkeenpäin ajateltuna suoraan sanottuna harmittaa aiv61352- 721311
En voi sille mitään
Tulen niin pahalle tuulelle tästä paikasta nykyisin. Nähnyt ja lukenut jo kaiken ja teidän juttu on samaa illasta toisee121304