Validando falha de renegociação SSL / TLS

1

Nosso scanner de vulnerabilidades (Saint-based) está alegando que um grande número de dispositivos e servidores são suscetíveis à falha de renegociação SSL / TLS (CVE-2009-3555). A maioria desses servidores e dispositivos está razoavelmente atualizada em patches / firmware.

Como o problema tem cinco anos ou mais, suspeito que os problemas relatados são principalmente falsos positivos.

Para verificar, eu corri isto:

openssl s_client -connect x.x.x.x:443
<snip>
GET / HTTP/1.1
R
RENEGOTIATING
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify return:1

read:errno=0
(CRLF)

Assim, o servidor está dizendo "RENEGOTIATING", que parece indicar que é vulnerável, mas não fornece conteúdo na CRLF subsequente, o que parece indicar que não é vulnerável.

Com base no exposto, este dispositivo é vulnerável? Existe uma maneira melhor de testar? Só preciso de uma maneira confiável de confirmar antes de redigir um falso positivo ou tentar encontrar uma correção.

    
por Jim Balo 05.01.2015 / 21:43

1 resposta

0

Jim, com base nos seus resultados, o host é vulnerável. Você deve ter recebido uma falha de handshake SSL se o host tiver sido corrigido. Você deve abrir um caso com seu fornecedor e sobre uma solução alternativa ou um patch.

R
RENEGOTIATING
140735200371552:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:615:

Isso é o que você deveria ter visto.

    
por 05.01.2015 / 21:55