Компания Red Hat сообщила (https://access.redhat.com/blogs/766093/posts/2787271) о проведении в выпуске Red Hat Enterprise Linux 6.9 (https://access.redhat.com/documentation/en-US/Red_Hat_Enterp...), первая бета-версия которого была недавно предоставлена (https://www.redhat.com/archives/rhelv5-announce/2017-January...) для тестирования, большой чистки устаревших алгоритмов и протоколов, безопасность которых в современных условиях поставлена под сомнение. Изменения позволят блокировать такие атаки как DROWN (https://www.opennet.me/opennews/art.shtml?num=43971) против SSL 2.0, SLOTH (https://www.opennet.me/opennews/art.shtml?num=43649) против MD5, LOGJAM (https://www.opennet.me/opennews/art.shtml?num=42270) и FREAK (https://www.opennet.me/opennews/art.shtml?num=41782) против TLS.
Среди изменений:
- Полностью удалена поддержка протокола SSLv2 и экспортных наборов шифров, включающих (https://www.opennet.me/opennews/art.shtml?num=41782) недостаточно защищённые устаревшие алгоритмы шифрования;
- Ограничено использование MD5 и SHA0 в качестве алгоритма для создания цифровых подписей;- Запрещена установка защищённых соединений с сервером при использовании в TLS параметров DH (Diffie-Hellman), размером менее 1024 бит.
- Отключено использование RC4 в контекстах, не приводящих к проблемам с нарушением совместимости (например, RC4 отключен в OpenSSH);- В OpenSSL, NSS, GnuTLS и vsftpd добавлена поддержка протокола TLS 1.2;
- В perl-модулях Net:SSLeay и IO::Socket::SSL реализована возможнлость жесткого определения допустимой версии протокола TLS;- В состав включена утилита cpuid, выводящая информацию о возможностях CPU на основании данных, полученных через инструкцию CPUID;
- В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);URL: https://access.redhat.com/blogs/766093/posts/2787271
Новость: http://www.opennet.me/opennews/art.shtml?num=45827
Во всех бы дистрибутивах так...
>прекращается автоматическое изменение /etc/resolv.confНаконец-то
А PEERDNS=no не канало?..
>>прекращается автоматическое изменение /etc/resolv.conf
> Наконец-то//offtop
а куда бы копать чтоб в /etc/resolv.conf кроме всяких 8.8.8.8 прописанных в НМ для конекшена не создавалась первой строчка 192.168.1.254 (вроде эти цифры, по памяти) ? ресолвинг начинает дико тормозить с ней
> В NetworkManager добавлена поддержка ручной настройки DNS (при указании dns=none в настройках NetworkManager, прекращается автоматическое изменение /etc/resolv.conf);В смысле — по умолчанию, а то создаётся ощущение, что NM только что этому научили.
Нигде не нашел на https://access.redhat.com/documentation/en-US/Red_Hat_Enterp...https://access.redhat.com/blogs/766093/posts/2787271
про:
"Полностью удалена поддержка протокола SSLv2"или ТС так перевел:
A few prominent attacks are briefly described below:
DROWN in 2016; it relied on servers enabling the SSL 2.0 protocol, allowing the attackers to obtain sufficient information to decrypt other, unrelated TLS sessions.
Да, предложение очень сложно построено. Я тоже пока дочитывал челюсть с пола поднимал.
"TLS ciphersuites marked as export, as well as the SSL 2.0 protocol, are completely removed from the operating system" и "The shipped TLS libraries will no longer include support for the SSL 2.0 protocol."
> "TLS ciphersuites marked as export, as well as the SSL 2.0 protocol,
> are completely removed from the operating system" и "The shipped TLS
> libraries will no longer include support for the SSL 2.0 protocol."Редхат наконец заметил что экспортные шифры на GPU ломают чуть ли не студни в рамках лабы по криптографии?
Правильные списки шифров https://cipherli.st/
Все остальные можно смело выпиливать
Не очень понимаю, для каких нужд использовался именно SHA-0, который был буквально сразу же после его представления, как стандарта аннулирован.