Re: CVE-2011-3389

[Reindl Harald <h....@thelounge.net>]

Ähm aber wo ist da jetzt der Unterschied vorher/nachher?
Liegt da nur am "SSLHonorCipherOrder On"
Irgendwie ist SSL nicht ganz meins :-(

Wobei ich "RC4" raus genommen habe weil sslcan sonst mehr
mit Accepted anzeigt wie vorher
____________________________________

SSLProtocol             All -SSLv2
SSLCipherSuite          HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL


[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  168 bits  DES-CBC3-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA
____________________________________

SSLProtocol             All -SSLv2
SSLHonorCipherOrder     On
SSLCipherSuite          ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL


[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  168 bits  DES-CBC3-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA


Am 21.06.2012 17:21, schrieb Mario Brandt:
> Moin Reindl,
> das ist ja nicht ganz neu.
> 
> http://mariobrandt.de/archives/technik/secure-apache-against-cve-2011-3389-aka-beast-attack-354/
> 
> Gruß
> Mario
> 
> 2012/6/21 Reindl Harald <h....@thelounge.net>:
>> Hi
>>
>> Und wieder mal ein Security-Audit der zum Ergebnis
>> "Massnahmen erforderlich" kommt
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
>>
>> Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
>> hält, ja mich nerven solche Microsoft-Berichte auf einer
>> Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
>> Port 443 eigentlich gar nichts zu suchen haben weil nicht
>> relevant, aber seis drum
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
> For additional commands, e-mail: users-de-help@httpd.apache.org
> 

-- 

Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/

http://www.thelounge.net/signature.asc.what.htm

Re: CVE-2011-3389 (Danke!)

[Reindl Harald <h....@thelounge.net>]

Danke, jetzt hab ichs auch begriffen und der wöchentliche
Security-Audit wird sich wieder freuen.......

https://www.ssllabs.com/ssltest/index.html
Kommt meinen "Administration"-Bookmarks-Folder!

Ergebnis sieht jetzt verdammt gut aus

Overall Rating:   A 85
PCI compliant:     Yes
Certificate:       100
Protocol Support:   85
Key Exchange:       80
Cipher Strength:    90

Danke und LG
Harry

Am 04.07.2012 15:54, schrieb Mario Brandt:
> Moin Reindl,
> das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
> anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
> anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
> CPU schonend und imun gegen CVE-2011-3389.
> 
> Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
> wirklich die Schwächen deiner SSL config liegen
> https://www.ssllabs.com/ssltest/index.html
> 
> Guß
> Mario

-- 

Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/

http://www.thelounge.net/signature.asc.what.htm

Re: CVE-2011-3389

[Mario Brandt <jb...@gmail.com>]

Moin Reindl,
das "Problem" ist der Cipher Block Chaining (CBC) mode der unter
anderen vom AES und Triple-DES benutzt wird. Deshalb müssen die
anfälligen cipher deaktiviert werden. Gerade der RC4 cipher ist recht
CPU schonend und imun gegen CVE-2011-3389.

Benutze mal folgende Seite / Tool um Dir anzeigen zu lassen, wo
wirklich die Schwächen deiner SSL config liegen
https://www.ssllabs.com/ssltest/index.html

Guß
Mario

---------------------------------------------------------------------
To unsubscribe, e-mail: users-de-unsubscribe@httpd.apache.org
For additional commands, e-mail: users-de-help@httpd.apache.org