You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Reindl Harald <h....@thelounge.net> on 2012/06/21 14:01:58 UTC
CVE-2011-3389
Hi
Und wieder mal ein Security-Audit der zum Ergebnis
"Massnahmen erforderlich" kommt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
hält, ja mich nerven solche Microsoft-Berichte auf einer
Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
Port 443 eigentlich gar nichts zu suchen haben weil nicht
relevant, aber seis drum
_______________________________________________
Aktuelle SSL-Config:
SSLSessionCache shm:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 600
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
SSLProtocol All -SSLv2
SSLCipherSuite HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
SSLVerifyClient Off
SSLVerifyDepth 10
_______________________________________________
Behebung Mittleres Risiko [ TCP 443 ]: SSL/TLS Protokoll Initialisierungsvektor
Informationslücke
Soferne der Server es zulässt konfigurieren Sie diesen so, dass dieser nur TLS 1.1 oder TLS 1.2
unterstützt.
Konfigurieren Sie den Server so, dass dieser nur Ciphers Suites ohne Block Ciphers unterstützt.
Wenden Sie eventuell vorhandene Patches an.
Beachten Sie, dass eventuell zusätzliche Konfigurationsschritte nach der Installation des
Sicherheitsupdates MS12-006 von Microsoft erforderlich sein können. Weitere Infos dazu unter
http://support.microsoft.com/kb/2643584.
_______________________________________________
Risikograd
hohes Risiko:
mittleres Risiko:
geringes Risiko:
Anzahl der Schwachstellen
-
1
-
Mittleres Risiko [ TCP 443 ]: SSL/TLS Protokoll Initialisierungsvektor
Informationslücke
Es existiert eine Schwachstelle in SSL 3.0 und TLS 1.0, welche Informationen an einen Angreifer
preisgibt wenn dieser in der Lage ist den verschlüsselten Datenverkehr mitzulesen.
TLS 1.1, TLS1.2 und alle Cipher Suites, welche den CBC (Chained Block Cipher) Modus verwenden
sind davon betroffen.
Das Skript versucht eine SSL/TLS Verbindung unter Verwendung einer betroffenenen SSL Version
und Cipher Suite herzustellen und Daten anzufragen. Sollten die retournierten Daten nicht mit
einem leeren oder einem One-Byte Record fragmentiert sein liegt wahrscheinlich eine
Schwachstelle vor.
OpenSSL verwendet leere Fragmente als eine Gegenmaßnahme solange die Option
'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' bei der Initialisierung von OpenSSL nicht
spezifiziert ist.
Microsoft hat eine One-Byte Fragmentierung als Gegenmaßnahme implementiert, welche über den
Registry Key
© ZT Prentner IT
Seite 2 von 5
TSM – Trusted Security Monitoring©
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendExtr
aRecord gesteuert wird.
Daher können unterschiedlichen Anwendungen die gleiche SSL/TLS Implementierung verwenden,
aber abhängig von einer gesetzten Gegenmaßnahme verwundbar sein, oder nicht.
Re: CVE-2011-3389 (Danke!)
Posted by Reindl Harald <h....@thelounge.net>.
Danke, jetzt hab ichs auch begriffen und der wöchentliche
Security-Audit wird sich wieder freuen.......
https://www.ssllabs.com/ssltest/index.html
Kommt meinen "Administration"-Bookmarks-Folder!
Ergebnis sieht jetzt verdammt gut aus
Overall Rating: A 85
PCI compliant: Yes
Certificate: 100
Protocol Support: 85
Key Exchange: 80
Cipher Strength: 90
Danke und LG
Harry
Am 04.07.2012 15:54, schrieb Mario Brandt:
> Moin Reindl,
> das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
> anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
> anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
> CPU schonend und imun gegen CVE-2011-3389.
>
> Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
> wirklich die Schwächen deiner SSL config liegen
> https://www.ssllabs.com/ssltest/index.html
>
> Guß
> Mario
--
Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/
http://www.thelounge.net/signature.asc.what.htm
Re: CVE-2011-3389
Posted by Mario Brandt <jb...@gmail.com>.
Moin Reindl,
das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
CPU schonend und imun gegen CVE-2011-3389.
Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
wirklich die Schwächen deiner SSL config liegen
https://www.ssllabs.com/ssltest/index.html
Guß
Mario
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org
Re: CVE-2011-3389
Posted by Reindl Harald <h....@thelounge.net>.
Ähm aber wo ist da jetzt der Unterschied vorher/nachher?
Liegt da nur am "SSLHonorCipherOrder On"
Irgendwie ist SSL nicht ganz meins :-(
Wobei ich "RC4" raus genommen habe weil sslcan sonst mehr
mit Accepted anzeigt wie vorher
____________________________________
SSLProtocol All -SSLv2
SSLCipherSuite HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits CAMELLIA128-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
____________________________________
SSLProtocol All -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits CAMELLIA128-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Am 21.06.2012 17:21, schrieb Mario Brandt:
> Moin Reindl,
> das ist ja nicht ganz neu.
>
> http://mariobrandt.de/archives/technik/secure-apache-against-cve-2011-3389-aka-beast-attack-354/
>
> Gruß
> Mario
>
> 2012/6/21 Reindl Harald <h....@thelounge.net>:
>> Hi
>>
>> Und wieder mal ein Security-Audit der zum Ergebnis
>> "Massnahmen erforderlich" kommt
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
>>
>> Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
>> hält, ja mich nerven solche Microsoft-Berichte auf einer
>> Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
>> Port 443 eigentlich gar nichts zu suchen haben weil nicht
>> relevant, aber seis drum
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
> For additional commands, e-mail: users-de-help@httpd.apache.org
>
--
Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/
http://www.thelounge.net/signature.asc.what.htm
Re: CVE-2011-3389
Posted by Mario Brandt <jb...@gmail.com>.
Moin Reindl,
das ist ja nicht ganz neu.
http://mariobrandt.de/archives/technik/secure-apache-against-cve-2011-3389-aka-beast-attack-354/
Gruß
Mario
2012/6/21 Reindl Harald <h....@thelounge.net>:
> Hi
>
> Und wieder mal ein Security-Audit der zum Ergebnis
> "Massnahmen erforderlich" kommt
>
> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
>
> Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
> hält, ja mich nerven solche Microsoft-Berichte auf einer
> Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
> Port 443 eigentlich gar nichts zu suchen haben weil nicht
> relevant, aber seis drum
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org