Segurança : Cisco Email Security Appliance

Vulnerabilidade CVE-2014-3566 do 3.0 da versão de SSL no ESA

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve o Oracle do estofamento no ataque da criptografia do legado Downgraded (CANICHE) na ferramenta de segurança do email de Cisco (ESA).

Contribuído por Enrico Werner, engenheiro de TAC da Cisco.

Problema

O 3.0 da versão do secure sockets layer (SSL) (RFC-6101) é um Obsoleto e um protocolo inseguro. Quando para a maioria de propósitos práticos, for substituída por seus sucessores - a versão 1.0 do Transport Layer Security (TLS) (RFC-2246), a versão TLS 1.1 (RFC-4346), e a versão TLS 1.2 (RFC-5246) - muitas aplicações TLS permanece ½ do ¿  do backwardsï compatível com 3.0 da versão de SSL a fim interoperar com sistemas de legado no interesse de uma experiência lisa do usuário. O aperto de mão do protocolo prevê a negociação de versão autenticada, tão normalmente a versão do protocolo a mais atrasada comum ao cliente e o server é usado. Contudo, mesmo se um cliente e servidor ambos apoia uma versão do TLS, o nível de segurança oferecido pelo 3.0 da versão de SSL é ainda relevante desde que muitos clientes executam uma dança do downgrade do protocolo a fim trabalhar em torno dos erros da Interoperabilidade do lado do ½ do ¿  do serverïÂ.

Os atacantes podem explorar a dança do downgrade e quebrar a segurança criptográfica do 3.0 da versão de SSL. O ataque da CANICHE permite que, por exemplo, roubem? fixe? Cookie HTTP (ou outros tokens do portador tais como índices do encabeçamento da autorização HTTP).

Esta vulnerabilidade foi atribuída as vulnerabilidades e as exposições comuns (CVE) ID CVE-2014-3566.

Solução

Está aqui uma lista de erros relevantes:

  • Identificação de bug Cisco CSCur27131 - Ataque da CANICHE do 3.0 da versão de SSL no ESA (CVE-2014-3566)

  • Identificação de bug Cisco CSCur27153 - Ataque da CANICHE do 3.0 da versão de SSL no dispositivo do Gerenciamento do Cisco Security (CVE-2014-3566)

  • Identificação de bug Cisco CSCur27189 - Ataque da CANICHE do 3.0 da versão de SSL na ferramenta de segurança da Web de Cisco (CVE-2014-3566)

  • Identificação de bug Cisco CSCur27340 - Ataque da CANICHE do 3.0 da versão de SSL no dispositivo da criptografia de Cisco Ironport (CVE-2014-3566)

Nos padrões NON-federais do processamento de informação (FIP) modo, o 3.0 da versão de SSL é permitido nas configurações padrão. No FIP-MODE, o 3.0 da versão de SSL é desabilitado à revelia. A fim verificar se o modo FIP é permitido, entre:

CLI> fipsconfig

FIPS mode is currently disabled.

Quando o modo FIP é desabilitado, verifique se o 3.0 da versão de SSL é permitido nos ajustes do sslconfig. Quando sslv3 é alistado como o método, o 3.0 da versão de SSL está permitido. Mude isto à versão TLS 1 a fim desabilitar o 3.0 da versão de SSL.

CLI> sslconfig
sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: <cipher list>
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: <cipher list>
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: <cipher list>
example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> GUI

Enter the GUI HTTPS ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the GUI HTTPS ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> INBOUND

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

example.com> commit

Please enter some comments describing your changes:
[]> remove SSLv3 from the GUI HTTPS method/Inbound SMTP method/Outbound SMTP method

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Thu Oct 16 07:41:10 2014 GMT

Informações Relacionadas



Document ID: 118620