Re: CVE-2011-3389

Reindl Harald Wed, 04 Jul 2012 06:28:21 -0700

Ähm aber wo ist da jetzt der Unterschied vorher/nachher?
Liegt da nur am "SSLHonorCipherOrder On"
Irgendwie ist SSL nicht ganz meins :-(


Wobei ich "RC4" raus genommen habe weil sslcan sonst mehr
mit Accepted anzeigt wie vorher
____________________________________

SSLProtocol             All -SSLv2
SSLCipherSuite          HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL


[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  168 bits  DES-CBC3-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA
____________________________________

SSLProtocol             All -SSLv2
SSLHonorCipherOrder     On
SSLCipherSuite          
ECDHE-RSA-AES256-SHA384:AES256-SHA256:HIGH:!MD5:!aNULL:!EDH:!AESGCM:!SSLV2:!eNULL


[root@openvas:~]$ sslscan buildserver.thelounge.net | grep Accepted | sort
    Accepted  SSLv3  128 bits  AES128-SHA
    Accepted  SSLv3  128 bits  CAMELLIA128-SHA
    Accepted  SSLv3  168 bits  DES-CBC3-SHA
    Accepted  SSLv3  256 bits  AES256-SHA
    Accepted  SSLv3  256 bits  CAMELLIA256-SHA
    Accepted  TLSv1  128 bits  AES128-SHA
    Accepted  TLSv1  128 bits  CAMELLIA128-SHA
    Accepted  TLSv1  168 bits  DES-CBC3-SHA
    Accepted  TLSv1  256 bits  AES256-SHA
    Accepted  TLSv1  256 bits  CAMELLIA256-SHA


Am 21.06.2012 17:21, schrieb Mario Brandt:
> Moin Reindl,
> das ist ja nicht ganz neu.
> 
> http://mariobrandt.de/archives/technik/secure-apache-against-cve-2011-3389-aka-beast-attack-354/
> 
> Gruß
> Mario
> 
> 2012/6/21 Reindl Harald <[email protected]>:
>> Hi
>>
>> Und wieder mal ein Security-Audit der zum Ergebnis
>> "Massnahmen erforderlich" kommt
>>
>> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389
>>
>> Jemand eine Ahnung wo man da schraubt damit Nessus die Fresse
>> hält, ja mich nerven solche Microsoft-Berichte auf einer
>> Linux-Kiste gewaltig von Dienstleistern von Kunden die auf
>> Port 443 eigentlich gar nichts zu suchen haben weil nicht
>> relevant, aber seis drum
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: [email protected]
> For additional commands, e-mail: [email protected]
> 

-- 

Reindl Harald
the lounge interactive design GmbH
A-1060 Vienna, Hofmühlgasse 17
CTO / CISO / Software-Development
p: +43 (1) 595 3999 33, m: +43 (676) 40 221 40
icq: 154546673, http://www.thelounge.net/

http://www.thelounge.net/signature.asc.what.htm

signature.asc
Description: OpenPGP digital signature

Re: CVE-2011-3389

Antwort per Email an