testssl.sh ツールは、私がテストしたサーバーがLucky13( CVE-2013-0169 )の脆弱性に対して脆弱であると述べています。 testssl.sh出力の下:
###########################################################
testssl.sh
###########################################################
Testing for LUCKY13 vulnerability
LUCKY13 (CVE-2013-0169) VULNERABLE, uses cipher block chaining (CBC) ciphers
OpenSSLをアップグレードすれば修正されると思います。ただし、これはWindows Server 2012なので、OpenSSLはありません。これを軽減するための適切な修正は何ですか?
私は考えていました:
Lucky13には他に緩和策はありますか?なぜマイクロソフトはセキュリティパッチでこれを修正しなかったのですか?
@StackzOfZtuffが示唆しているように、これはtestssl.sh
ツールの誤検知でした。