mail.debianforum.de angreifbar?

Schreibt hier die Kategorien und Themen rein, die euch momentan hier noch fehlen.
Antworten
rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

mail.debianforum.de angreifbar?

Beitrag von rendegast » 30.07.2015 09:34:53

Code: Alles auswählen

$ sslscan --starttls mail.debianforum.de 25
....
    Accepted  TLSv1  40 bits   EXP-EDH-RSA-DES-CBC-SHA
    Accepted  TLSv1  40 bits   EXP-ADH-DES-CBC-SHA
    Accepted  TLSv1  40 bits   EXP-DES-CBC-SHA
    Accepted  TLSv1  40 bits   EXP-RC2-CBC-MD5
    Accepted  TLSv1  40 bits   EXP-ADH-RC4-MD5
    Accepted  TLSv1  40 bits   EXP-RC4-MD5
...
somit angreifbar?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Re: mail.debianforum.de angreifbar?

Beitrag von feltel » 30.07.2015 19:02:00

Stimmt, das sollte nicht sein. Ich kümmer mich drum.

Benutzeravatar
ohnex
Beiträge: 391
Registriert: 31.01.2010 22:35:36

Re: mail.debianforum.de angreifbar?

Beitrag von ohnex » 01.08.2015 00:39:09

Hi
feltel hat geschrieben:Stimmt, das sollte nicht sein. Ich kümmer mich drum.
Könnte man da näher drauf eingehen, damit man verstehen kann was damit gemeint.


Danke

Ciao

pixelpeter
Beiträge: 8
Registriert: 08.06.2014 12:23:12

Re: mail.debianforum.de angreifbar?

Beitrag von pixelpeter » 12.08.2015 21:50:25

Eventuell das RC4...
Using Tapatalk

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: mail.debianforum.de angreifbar?

Beitrag von rendegast » 12.08.2015 22:04:35

Es geht um das EXP.
Lese nach unter google:"freak tls".


Was ich aber noch fragen möchte,
reicht(e) es eigentlich, die EXP über die cipher-Konfiguration zu deaktivieren?
In den Artikeln wird immer davon gesprochen, nach dem String "export" in der ssl-Lib zu suchen.
Wenn sich der Angriff per Konfiguration entschärfen ließe, warum wurde dann darauf eigenlich nie Bezug genommen, zBsp. in der Art von sslscan-Ausgaben wie oben.
Oder beruht der Angriff gerade darauf, daß die EXP-Modi trotz einer strengen Konfiguration initiiert werden (konnten)?

EDIT 20150916
Die einfache Deaktivierung per Konfig entschärft den Angriff, http://www.postfix.org/:
Newsflash

As of July 2015, all supported Postfix releases no longer enable export-grade ciphers, and no longer enable the SSLv2 and SSLv3 protocols. These ciphers and protocols have little if any legitimate use today, and have instead become a vehicle for downgrade attacks. See the announcement for more.

Logjam Attack: this has mostly the same countermeasure as FREAK: disable EXPORT ciphers on the SMTP server side, as described under the next bullet.

FREAK Attack: To protect vulnerable clients execute as root "postconf smtpd_tls_exclude_ciphers=EXPORT; postfix reload". This command removes EXPORT ciphers with opportunistic as well as mandatory TLS. The impact of this attack was already low because each Postfix SMTP server process computes its own own "ephemeral" RSA key and terminates after a limited time.

GHOST Attack: Postfix does not call gethostbyname() since 2005. There is no Postfix code that invokes this function unless Postfix is specifically built for operating systems from more than 10 years ago (this requires the compile-time option "-DNO_IPV6").
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

Antworten