Banner che acquisisce le versioni OpenSSL con OpenSSL

1

Con le recenti notizie su una nuova vulnerabilità di OpenSSL (che riguarda solo la versione 1.0.2), sto cercando di condurre alcune ricerche e mi chiedevo se ci fosse un modo per identificare quale versione di OpenSSL un server è in esecuzione (senza usare Nmap). Idealmente, mi piacerebbe utilizzare OpenSSL stesso per identificare la versione del server.

C'è un modo in cui s_client con altri parametri può essere usato per forzare un server a gettare fuori la versione in uso? Forse la rinegoziazione delle chiavi?

Grazie.

    
posta Sevaara 02.02.2016 - 15:12
fonte

2 risposte

3

Non c'è nulla come un "tipo e versione di stack TLS" nella specifica TLS. OpenSSL da solo non ha alcun tipo di funzionalità non standard che ti permette di chiedere ad un server la versione. Quindi non ottieni informazioni così esplicite a livello di protocollo. Potresti provare a indovinare la versione in base alle modifiche al comportamento o ai codici specifici che esistono solo da una specifica versione di OpenSSL, ma è improbabile che tu ottenga un risultato molto specifico in questo modo.

Potresti anche avere una versione all'interno dell'intestazione del Server HTTP, ad esempio qualcosa come Apache/2.2.24 (Unix) mod_ssl/2.2.24 OpenSSL/1.0.0.e . Ma questo può facilmente essere simulato.

D'altra parte dubito che sia utile per ottenere a distanza la versione OpenSSL. Almeno questo non può essere utilizzato per scoprire se il server è affetto da uno specifico problema di sicurezza. Le correzioni per problemi di sicurezza di solito vengono ripristinate dal distributore e quindi potrebbe essere ancora OpenSSL 1.0.2e ma contiene le correzioni di sicurezza (ma non le funzionalità) delle versioni successive.

    
risposta data 02.02.2016 - 15:28
fonte
0

I banner possono essere facilmente falsificati. Tuttavia, se un server risponde con AES-GCM e TLS1.2, sai che hai un OpenSSL piuttosto nuovo dall'altra parte. Vorrei usare il ssl-cipher-enum di nmap plugin per determinare quali protocolli e i cifrari sono disponibili e mappali indietro alle versioni che li supportano.

    
risposta data 02.02.2016 - 21:16
fonte

Leggi altre domande sui tag