Sécurité : Appareil de sécurité de courriel Cisco

Vulnérabilité CVE-2014-3566 de version 3.0 SSL sur l'ESA

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit Oracle complétant sur l'attaque existante de cryptage Downgraded (CANICHE) sur l'appliance de sécurité du courrier électronique de Cisco (ESA).

Contribué par Enrico Werner, ingénieur TAC Cisco.

Problème

La version 3.0 (RFC-6101) de Secure Sockets Layer (SSL) est une Désuet(e) et un protocole non sécurisé. Tandis que pour la plupart des buts pratiques, il a été remplacé par ses successeurs - la version 1.0 (RFC-2246) de Transport Layer Security (TLS), la version 1.1 (RFC-4346) de TLS, et la version 1.2 (RFC-5246) de TLS - beaucoup de TLS que les réalisations restent backwardsÝcompatible avec la version 3.0 SSL afin d'interopérer avec les systèmes existants dans l'intérêt d'une expérience utilisateur sans heurt. La prise de contact de protocole prévoit la négociation authentifiée de version, tellement normalement la dernière version de protocole commune au client et le serveur est utilisé. Cependant, même si un client et un serveur chacun des deux prennent en charge une version de TLS, le niveau de Sécurité offert par la version 3.0 SSL est encore approprié puisque beaucoup de clients mettent en application une danse de downgrade de protocole afin de travailler autour des bogues d'Interopérabilité de serverÝside.

Les attaquants peuvent exploiter la danse de downgrade et casser la Sécurité cryptographique de la version 3.0 SSL. L'attaque de CANICHE leur permet, par exemple, pour dérober ? sécurisé ? Témoins de HTTP (ou d'autres jetons de support tels que le contenu d'en-tête d'autorisation de HTTP).

Cette vulnérabilité a été assignée l'ID commun CVE-2014-3566 de vulnérabilités et d'expositions (CVE).

Solution

Voici une liste de bogues appropriées :

  • ID de bogue Cisco CSCur27131 - Attaque de CANICHE de version 3.0 SSL sur l'ESA (CVE-2014-3566)

  • ID de bogue Cisco CSCur27153 - Attaque de CANICHE de version 3.0 SSL sur l'appliance de Gestion de sécurité Cisco (CVE-2014-3566)

  • ID de bogue Cisco CSCur27189 - Attaque de CANICHE de version 3.0 SSL sur l'appliance de sécurité Web de Cisco (CVE-2014-3566)

  • ID de bogue Cisco CSCur27340 - Attaque de CANICHE de version 3.0 SSL sur l'appliance de Chiffrement Cisco IronPort (CVE-2014-3566)

En mode de traitement de l'information Non-fédéral des normes (PAP), la version 3.0 SSL est activée dans les valeurs par défaut. En PAP-mode, la version 3.0 SSL est désactivée par défaut. Afin de vérifier si le mode PAP est activé, entrez :

CLI> fipsconfig

FIPS mode is currently disabled.

Quand le mode PAP est désactivé, vérifiez si la version 3.0 SSL est activée dans les configurations de sslconfig. Quand sslv3 est répertorié comme méthode, la version 3.0 SSL est activée. Changez ceci à la version 1 de TLS afin de désactiver la version 3.0 SSL.

CLI> sslconfig
sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: <cipher list>
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: <cipher list>
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: <cipher list>
example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> GUI

Enter the GUI HTTPS ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the GUI HTTPS ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> INBOUND

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

example.com> commit

Please enter some comments describing your changes:
[]> remove SSLv3 from the GUI HTTPS method/Inbound SMTP method/Outbound SMTP method

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Thu Oct 16 07:41:10 2014 GMT

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118620