Ir para o conteúdo
ou

Software livre Brasil

0 comunidades

Nenhum(a)

Ver todas
 Voltar a Blog
Tela cheia

Openssl security fail on Zimbra

28 de Setembro de 2011, 0:00 , por Software Livre Brasil - 0sem comentários ainda | Ninguém está seguindo este artigo ainda.
Visualizado 118 vezes

Sim , temos uma sutil falha no ssl do zimbra que afeta tanto a versão paga quanto a colaboration sendo ela anterior a versão 6.x .
A falha consiste na criptografia de determinado tipo para a conta anonima do ldap.

Como corregir.:


$ zmldapanon -d # remove acesso a pesquisa anonima no ldap
$ postconf -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"  #remove acesso ao post usando estas cipher
$ zmlocalconfig -e smtpd_tls_exclude_ciphers="aNULL, MD5, DES"#remove acesso ao zimb usando estas cipher

Como eu sei que meu server está vulneravel?
Simples efetuando um teste com o seguinte comando.


$ openssl s_client -connect IPSERVIDOR:PORTA -cipher DES #o DES pode ser trocado por MD5 ou aNULL

Na condição de não estar vulnerável ele retornará o seguinte erro.:

3077801708:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:674

no peer certificate available

No client certificate CA names sent

SSL handshake has read 7 bytes and written 77 bytes

New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE

This is it.


Fonte: http://www.ramonalmeida.com.br/?p=311

0sem comentários ainda

Enviar um comentário

Os campos são obrigatórios.

Se você é um usuário registrado, pode se identificar e ser reconhecido automaticamente.

 Cancelar