Server SSLv2 abilitato su server non Web

0

Uso di Nessus Sto analizzando la nostra rete interna per vulnerabilità e exploit. Ho trovato un numero elevato di istanze in cui SSLv2 è abilitato e, di conseguenza, viene contrassegnato come vulnerabilità. Comprendo i limiti di SSLv2 e anche i limiti di SSLv3, quindi sono abbastanza contento di procedere con la disattivazione di SSLv2 sulle nostre finestre di Windows 2008 R2. La mia domanda è che se questi server non sono server Web e non si ha motivo per i client di tentare di avviare una sessione HTTPS, si tratta di una vulnerabilità sfruttabile? Un utente malintenzionato potrebbe ancora utilizzare un attacco "roll-back" e connettersi con SSLv2?

    
posta JLPH 12.06.2014 - 11:38
fonte

1 risposta

0

SSLv2, abilitato su un server SSL, è una potenziale vulnerabilità solo se tutte le seguenti condizioni sono vere:

  • C'è qualche cliente che vuole connettersi a quel server e scambiare dati sensibili attraverso quel tunnel SSL.
  • Anche il client accetta di utilizzare SSLv2.
  • Il client e il server non implementano il sistema di rilevamento della versione di rollback descritto in RFC 2246, sezione E. 2 .

In base a tutti questi presupposti, un utente malintenzionato può forzare server e client a utilizzare SSLv2 anche se entrambi supportano SSLv3 o più. Ciò a sua volta può implicare qualche debolezza a seconda del protocollo sottostante (il problema più grande con SSLv2 è la mancanza di terminazione verificata, quindi gli hacker possono forzare il troncamento silenzioso, che è un problema se il protocollo sottostante non è auto- terminato).

Dato ciò che dici, è altamente improbabile che questi "supporto SSLv2" sia un problema nel tuo caso.

Tuttavia , una domanda più interessante è: quali sono questi server comunque? Perché una macchina dovrebbe gestire un servizio di rete, pronto a fare SSL, se non c'è proprio il cliente previsto? Perché non spegnere questi servizi inutilizzati? Il problema non è una questione di SSLv2 rispetto a SSLv3, ma più una questione di avere servizi abilitati per la rete aperti senza una buona ragione.

    
risposta data 12.06.2014 - 13:16
fonte

Leggi altre domande sui tag