web-dev-qa-db-ja.com

Windowsサーバー上のLucky13の脆弱性(CVE-2013-0169)に対する適切なサーバー側の緩和策は何ですか?

testssl.sh ツールは、私がテストしたサーバーがLucky13( CVE-2013-0169 )の脆弱性に対して脆弱であると述べています。 testssl.sh出力の下:

###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability 
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers

OpenSSLをアップグレードすれば修正されると思います。ただし、これはWindows Server 2012なので、OpenSSLはありません。これを軽減するための適切な修正は何ですか?

私は考えていました:

  • TLS 1.0を完全に無効にします。
  • すべての暗号ブロック連鎖(CBC)暗号を削除します。

Lucky13には他に緩和策はありますか?なぜマイクロソフトはセキュリティパッチでこれを修正しなかったのですか?

2
Bob Ortiz

@StackzOfZtuffが示唆しているように、これはtestssl.shツールの誤検知でした。

ここで確認: https://github.com/drwetter/testssl.sh/issues/789

1
Bob Ortiz