<div dir="ltr">In other words, this is a downgrade attack. If your server supports these ciphers then a client can use them. If you're using the cipher suites from Better Crypto in your application then you're fine. But yes, update OpenSSL. :)<br><div><br></div><div>Alan</div></div><br><div class="gmail_quote">On Wed, Mar 4, 2015 at 6:10 PM L. Aaron Kaplan <<a href="mailto:aaron@lo-res.org">aaron@lo-res.org</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
On Mar 4, 2015, at 3:18 PM, Raoul Bhatia <<a href="mailto:raoul@bhatia.at" target="_blank">raoul@bhatia.at</a>> wrote:<br>
<br>
> On 2015-03-03 23:53, Aaron Zauner wrote:<br>
>> Hi,<br>
>> It seems one of the OpenSSL CVEs from the 8th of jan. got a nice<br>
>> catchy name for itself now as well: <a href="https://freakattack.com/" target="_blank">https://freakattack.com/</a><br>
>> For people that do not follow OpenSSL advisorys closely, TL;DR:<br>
>> If you're using an unpatched OpenSSL version or have a cipherstring<br>
>> that allows for RSA_EXPORT you really should be updating by now.<br>
><br>
> Do I correctly conclude that<br>
> I am safe if I have followed the ACH guide?<br>
Yes<br>
<br>
Export ciphers were avoided.<br>
<br>
<br>
______________________________<u></u>_________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at" target="_blank">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/<u></u>mailman/listinfo/ach</a><br>
</blockquote></div>