You are viewing a plain text version of this content. The canonical link for it is here.
Posted to users-de@httpd.apache.org by Reindl Harald <h....@thelounge.net> on 2012/07/04 15:27:44 UTC
Re: CVE-2011-3389
Ähm aber wo ist da jetzt der Unterschied vorher/nachher?
Liegt da nur am "SSLHonorCipherOrder On"
Irgendwie ist SSL nicht ganz meins :-(
Wobei ich "RC4" raus genommen habe weil sslcan sonst mehr
mit Accepted anzeigt wie vorher
____________________________________
SSLProtocol All -SSLv2
SSLCipherSuite HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits CAMELLIA128-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
____________________________________
SSLProtocol All -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL
[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
Accepted SSLv3 128 bits AES128-SHA
Accepted SSLv3 128 bits CAMELLIA128-SHA
Accepted SSLv3 168 bits DES-CBC3-SHA
Accepted SSLv3 256 bits AES256-SHA
Accepted SSLv3 256 bits CAMELLIA256-SHA
Accepted TLSv1 128 bits AES128-SHA
Accepted TLSv1 128 bits CAMELLIA128-SHA
Accepted TLSv1 168 bits DES-CBC3-SHA
Accepted TLSv1 256 bits AES256-SHA
Accepted TLSv1 256 bits CAMELLIA256-SHA
Am 21.06.2012 17:21, schrieb Mario Brandt:
> Moin Reindl,
> das ist ja nicht ganz neu.
>
> http://mariobrandt.de/archives/technik/secure-apache-against-cve-2011-3389-aka-beast-attack-354/
>
> Gruß
> Mario
>
> 2012/6/21 Reindl Harald <h....@thelounge.net>:
>> Hi
>>
>> Und wieder mal ein Security-Audit der zum Ergebnis
>> "Massnahmen erforderlich" kommt
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
>>
>> Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
>> hält, ja mich nerven solche Microsoft-Berichte auf einer
>> Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
>> Port 443 eigentlich gar nichts zu suchen haben weil nicht
>> relevant, aber seis drum
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
> For additional commands, e-mail: users-de-help@httpd.apache.org
>
--
Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/
http://www.thelounge.net/signature.asc.what.htm
Re: CVE-2011-3389 (Danke!)
Posted by Reindl Harald <h....@thelounge.net>.
Danke, jetzt hab ichs auch begriffen und der wöchentliche
Security-Audit wird sich wieder freuen.......
https://www.ssllabs.com/ssltest/index.html
Kommt meinen "Administration"-Bookmarks-Folder!
Ergebnis sieht jetzt verdammt gut aus
Overall Rating: A 85
PCI compliant: Yes
Certificate: 100
Protocol Support: 85
Key Exchange: 80
Cipher Strength: 90
Danke und LG
Harry
Am 04.07.2012 15:54, schrieb Mario Brandt:
> Moin Reindl,
> das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
> anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
> anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
> CPU schonend und imun gegen CVE-2011-3389.
>
> Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
> wirklich die Schwächen deiner SSL config liegen
> https://www.ssllabs.com/ssltest/index.html
>
> Guß
> Mario
--
Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/
http://www.thelounge.net/signature.asc.what.htm
Re: CVE-2011-3389
Posted by Mario Brandt <jb...@gmail.com>.
Moin Reindl,
das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
CPU schonend und imun gegen CVE-2011-3389.
Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
wirklich die Schwächen deiner SSL config liegen
https://www.ssllabs.com/ssltest/index.html
Guß
Mario
---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org