The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Red Hat Enterprise Linux 6.9 будет проведена чистка небезопасных алгоритмов и протоколов

09.01.2017 12:00

Компания Red Hat сообщила о проведении в выпуске Red Hat Enterprise Linux 6.9, первая бета-версия которого была недавно предоставлена для тестирования, большой чистки устаревших алгоритмов и протоколов, безопасность которых в современных условиях поставлена под сомнение. Изменения позволят блокировать такие атаки как DROWN против SSL 2.0, SLOTH против MD5, LOGJAM и FREAK против TLS.

Среди изменений:

  • Полностью удалена поддержка протокола SSLv2 и экспортных наборов шифров, включающих недостаточно защищённые устаревшие алгоритмы шифрования;
  • Ограничено использование MD5 и SHA-0 в качестве алгоритма для создания цифровых подписей;
  • Запрещена установка защищённых соединений с сервером при использовании в TLS параметров DH (Diffie-Hellman), размером менее 1024 бит.
  • Отключено использование RC4 в контекстах, не приводящих к проблемам с нарушением совместимости (например, RC4 отключен в OpenSSH);
  • В OpenSSL, NSS, GnuTLS и vsftpd добавлена поддержка протокола TLS 1.2;
  • В Perl-модулях Net::SSLeay и IO::Socket::SSL реализована возможность жесткого определения допустимой версии протокола TLS;
  • В состав включена утилита cpuid, выводящая информацию о возможностях CPU на основании данных, полученных через инструкцию CPUID;
  • В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);


  1. Главная ссылка к новости (https://access.redhat.com/blog...)
  2. OpenNews: Выпуск дистрибутива Oracle Linux 7.3 и ядра Unbreakable Enterprise Kernel R4U2
  3. OpenNews: Доступен дистрибутив SUSE Linux Enterprise 12 SP2
  4. OpenNews: Релиз Red Hat Enterprise Linux 7.3
  5. OpenNews: Выпуск Red Hat Enterprise Linux 6.8
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/45827-rhel
Ключевые слова: rhel, redhat
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (11) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Nulled.cc (?), 12:29, 09/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Во всех бы дистрибутивах так...
     
  • 1.6, Аноним (6), 13:24, 09/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    >прекращается автоматическое изменение /etc/resolv.conf

    Наконец-то

     
     
  • 2.31, Фунт (?), 23:10, 09/01/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А PEERDNS=no не канало?..
     
  • 2.35, J.L. (?), 11:00, 19/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >>прекращается автоматическое изменение /etc/resolv.conf
    > Наконец-то

    //offtop
    а куда бы копать чтоб в /etc/resolv.conf кроме всяких 8.8.8.8 прописанных в НМ для конекшена не создавалась первой строчка 192.168.1.254 (вроде эти цифры, по памяти) ? ресолвинг начинает дико тормозить с ней

     

  • 1.8, Аноним (-), 13:50, 09/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >  В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);

    В смысле — по умолчанию, а то создаётся ощущение, что NM только что этому научили.

     
  • 1.21, forchun (?), 16:16, 09/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нигде не нашел на https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6-Beta/

    https://access.redhat.com/blogs/766093/posts/2787271

    про:
    "Полностью удалена поддержка протокола SSLv2"

    или ТС так перевел:
    A few prominent attacks are briefly described below:
    DROWN in 2016; it relied on servers enabling the SSL 2.0 protocol, allowing the attackers to obtain sufficient information to decrypt other, unrelated TLS sessions.

     
     
  • 2.24, mumu (ok), 17:26, 09/01/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да, предложение очень сложно построено. Я тоже пока дочитывал челюсть с пола поднимал.
     
  • 2.27, Аноним (-), 19:31, 09/01/2017 [^] [^^] [^^^] [ответить]  
  • +/
    "TLS ciphersuites marked as export, as well as the SSL 2.0 protocol, are completely removed from the operating system" и "The shipped TLS libraries will no longer include support for the SSL 2.0 protocol."
     
     
  • 3.32, Аноним (-), 00:23, 10/01/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > "TLS ciphersuites marked as export, as well as the SSL 2.0 protocol,
    > are completely removed from the operating system" и "The shipped TLS
    > libraries will no longer include support for the SSL 2.0 protocol."

    Редхат наконец заметил что экспортные шифры на GPU ломают чуть ли не студни в рамках лабы по криптографии?

     
  • 3.33, Аноним (-), 00:40, 10/01/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Правильные списки шифров https://cipherli.st/
    Все остальные можно смело выпиливать
     

  • 1.34, zanswer CCNA RS (?), 15:01, 11/01/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не очень понимаю, для каких нужд использовался именно SHA-0, который был буквально сразу же после его представления, как стандарта аннулирован.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру