Hi Und wieder mal ein Security-Audit der zum Ergebnis "Massnahmen erforderlich" kommt
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389 Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse hält, ja mich nerven solche Microsoft-Berichte auf einer Linux-Kiste gewaltig von Dienstleistern von Kunden die auf Port 443 eigentlich gar nichts zu suchen haben weil nicht relevant, aber seis drum _______________________________________________ Aktuelle SSL-Config: SSLSessionCache shm:/var/cache/mod_ssl/scache(512000) SSLSessionCacheTimeout 600 SSLMutex default SSLRandomSeed startup file:/dev/urandom 256 SSLRandomSeed connect builtin SSLCryptoDevice builtin SSLProtocol All -SSLv2 SSLCipherSuite HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL SSLVerifyClient Off SSLVerifyDepth 10 _______________________________________________ Behebung Mittleres Risiko [ TCP 443 ]: SSL/TLS Protokoll Initialisierungsvektor Informationslücke Soferne der Server es zulässt konfigurieren Sie diesen so, dass dieser nur TLS 1.1 oder TLS 1.2 unterstützt. Konfigurieren Sie den Server so, dass dieser nur Ciphers Suites ohne Block Ciphers unterstützt. Wenden Sie eventuell vorhandene Patches an. Beachten Sie, dass eventuell zusätzliche Konfigurationsschritte nach der Installation des Sicherheitsupdates MS12-006 von Microsoft erforderlich sein können. Weitere Infos dazu unter http://support.microsoft.com/kb/2643584. _______________________________________________ Risikograd hohes Risiko: mittleres Risiko: geringes Risiko: Anzahl der Schwachstellen - 1 - Mittleres Risiko [ TCP 443 ]: SSL/TLS Protokoll Initialisierungsvektor Informationslücke Es existiert eine Schwachstelle in SSL 3.0 und TLS 1.0, welche Informationen an einen Angreifer preisgibt wenn dieser in der Lage ist den verschlüsselten Datenverkehr mitzulesen. TLS 1.1, TLS1.2 und alle Cipher Suites, welche den CBC (Chained Block Cipher) Modus verwenden sind davon betroffen. Das Skript versucht eine SSL/TLS Verbindung unter Verwendung einer betroffenenen SSL Version und Cipher Suite herzustellen und Daten anzufragen. Sollten die retournierten Daten nicht mit einem leeren oder einem One-Byte Record fragmentiert sein liegt wahrscheinlich eine Schwachstelle vor. OpenSSL verwendet leere Fragmente als eine Gegenmaßnahme solange die Option 'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' bei der Initialisierung von OpenSSL nicht spezifiziert ist. Microsoft hat eine One-Byte Fragmentierung als Gegenmaßnahme implementiert, welche über den Registry Key © ZT Prentner IT Seite 2 von 5 TSM – Trusted Security Monitoring© HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\SendExtr aRecord gesteuert wird. Daher können unterschiedlichen Anwendungen die gleiche SSL/TLS Implementierung verwenden, aber abhängig von einer gesetzten Gegenmaßnahme verwundbar sein, oder nicht.
signature.asc
Description: OpenPGP digital signature