IP Symcon v3.2: SSLv3 immer noch aktiv? (POODLE)

Sturm · 9. Dezember 2014 um 21:59

Hallo,

ich habe heute mal alle von mir betriebenen Systeme mit Hilfe von Qualys SSL Labs (https://www.ssllabs.com/ssltest/index.html) auf Anfälligkeit bezüglich POODLE getestet.

Eigentlich hatte ich erwartet, für meinen IPS Server (SSL) ein positives Ergebnis zu erhalten. Leider war das Ergebnis alles andere als positiv: Nach Aussage des Tests ist neben SSLv3 unter anderem auch SSLv2 aktiv. Das sind allerdings nur die größten gemeldeten Probleme - daneben gibt es eine ganze Latte anderer möglicher Schwächen.

Nachdem ich vor kurzem auf v3.2 hochgerüstet habe, ist mir nicht klar, warum der Test immer noch SSLv3 anzeigt? Ist bei meinem Update etwas schiefgegangen, oder habe ich das mit dem Deaktivieren von SSLv3 falsch verstanden?

Wer seine Installation testen will, sollte mal auf obige Seite gehen und das Ganze für seine Domäne durchlaufen lassen.

Gruß
Michael

r4m3u5 · 9. Dezember 2014 um 23:38

Aus reiner Neugier: dein Webfront läuft auf Port 443 bzw. Du PATtest von TCP 443 auf den Webfront-Port?

Cheers
/Jens

Sturm · 10. Dezember 2014 um 07:14

Hallo Jens,
Ja, für den Test habe ich das tatsächlich auf Port 443 durchgeschaltet. Normalerweise nutze ich einen weniger kompromitierten Port
Gruss
Michael

Raketenschnecke · 10. Dezember 2014 um 10:37

Danke für den Link, sehr, sehr hilfreich.
Hat mir meine aktuellen Baustellen sehr schön aufgezeigt. Nachdem ich die Baustellen (Tipp: NARTAC IIS Crypto GUI) alle -ratz fatz- behoben hatte, bin ich jetzt mit einem beruhigendem „A“-Ranking unterwegs.

PS: leicht OT, ich beziehe mich auf den IIS 7.5, nicht auf den IPS-Webserver!

r4m3u5 · 10. Dezember 2014 um 10:39

@Sturm Wollte nur sicher gehen, dass Du nicht einen anderen Webserver „misst“. Denn wer viel misst, misst Mist

Ich habe es mal ganz offline mit der #3578 getestet. Die ist leider auch noch verPOODLEd:

Nmap scan report for host.any.domain (192.168.xxx.xxx)Host is up (0.00s latency).
PORT     STATE SERVICE      VERSION
xxx/tcp open  ssl/freeciv?
| ssl-poodle:
|   VULNERABLE:
|   SSL POODLE information leak
|     State: VULNERABLE
|     IDs:  CVE:CVE-2014-3566  OSVDB:113251
|     Description:
|           The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and
|           other products, uses nondeterministic CBC padding, which makes it easier
|           for man-in-the-middle attackers to obtain cleartext data via a
|           padding-oracle attack, aka the "POODLE" issue.
|     Disclosure date: 2014-10-14
|     Check results:
|       TLS_RSA_WITH_AES_128_CBC_SHA
|     References:
|       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
|       http://osvdb.org/113251
|       https://www.openssl.org/~bodo/ssl-poodle.pdf
|_      https://www.imperialviolet.org/2014/10/14/poodle.html
Nmap done: 1 IP address (1 host up) scanned in 29.61 seconds

EDIT: das für den Scan genutzte Skript stoppt nach der ersten erkannten CBC Cipher-Suite, deswegen wird nur „TLS_RSA_WITH_AES_128_CBC_SHA“ angezeigt

paresy · 10. Dezember 2014 um 12:36

Ich hatte im Ursprünglichen Update nur die Verbindungen von IPS nach Extern gepatched und die WebServer vergessen

Fix dafür als Beta verfügbar.

paresy

r4m3u5 · 10. Dezember 2014 um 13:06

Danke @paresy! Sieht gut aus in der #3588:

Nmap scan report for host.name.vergessen (192.168.xxx.xxx)Host is up (0.00s latency).
PORT     STATE SERVICE      VERSION
xxx/tcp open  ssl/freeciv?
| ssl-enum-ciphers:
|   SSLv3: No supported ciphers found

[OT]Das Tray-Icon ist jetzt auch wesentlich besser sichtbar[OT]