Наш сканер уязвимостей (на базе Saint) утверждает, что большое количество устройств и серверов подвержено уязвимости повторного согласования SSL / TLS (CVE-2009-3555). На большинстве этих серверов и устройств установлены обновленные исправления / прошивки.
Поскольку проблеме 5+ лет, я подозреваю, что сообщаемые проблемы в основном являются ложными срабатываниями.
Чтобы проверить, я запустил это:
openssl s_client -connect x.x.x.x:443
<snip>
GET / HTTP/1.1
R
RENEGOTIATING
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify return:1
read:errno=0
(CRLF)
Итак, сервер говорит: "ПЕРЕНАСТРОЙКА", что, кажется, указывает на то, что он является уязвим, но он не доставляет контент в последующий CRLF, что, кажется, указывает на то, что он не уязвим.
Исходя из вышесказанного, уязвимо ли это устройство? Есть лучший способ проверить? Мне просто нужен надежный способ подтверждения, прежде чем списывать как ложное срабатывание или пытаться найти исправление.
Джим, судя по вашим результатам, хост уязвим. Вы должны были получить ошибку подтверждения ssl, если ваш хост был исправлен. Вы должны открыть случай с вашим поставщиком и относительно обходного пути или патча.
R
RENEGOTIATING
140735200371552:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:615:
Это то, что вы должны были видеть.