Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 3 subscribers
  • Views 7238 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ssl vulnerability ?

pgervaix
We regularly test our system from the outside using a vulnerability assessment tool and since today we have a new vulnerability which states :

"SSL Server Has SSLv2 Enabled Vulnerability"

"The Secure Socket Layer (SSL) protocol allows for secure communication between a client and a server. 
There are known flaws in the SSLv2 protocol. A man-in-the-middle attacker can force the communication to a less secure level and then attempt to break the weak encryption. The attacker can also truncate encrypted messages. 

These flaws have been fixed in SSLv3 (or TLSv1). Most servers (including all popular web-servers, mail-servers, etc.) and clients (including Web-clients like IE, Netscape Navigator and Mozilla and mail clients) support both SSLv2 and SSLv3. However, SSLv2 is enabled by default for backward compatibility.
"

Is there a configuration change I can do on the Astaro Firewall in order to eliminate this vulnerability ?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Marcel_01
    it was the last version, 3.214
  • 0 in reply to pgervaix
    Hi pgervaix,

    as you can see in /var/log/http.ssl_engine_log we are using openssl 0.9.6e and i can't find a security issue with this version.
  • 0 in reply to Markus Hennig
    Thanks, I will check with our Service provider to see if the vulnerability check found what could be a false positive.
  • 0 in reply to pgervaix
    Hello, 

    I checkeed with Astaro and this is their answer :

    "We have recently added new vulnerability signatures for SSL, it is for this reason that this vulnerability is now being found. It is unlikely that it is a false positive.

    The nature of this vulnerability lies not directly with OpenSSL itself- it is the SSL protocol itself that bears the vulnerability. SSL version 3 has addressed this issue, amongst others. So it is an implementation independent issue. Please be aware that there are no known exploits for this vulnerability, however, it has been accepted that it posses a significant risk.

    We would encourage you to request Astaro to disable the SSL version 2 protocol features provided by OpenSSL in your firewall and only allow SSL version 3. Please also be aware that OpenSSL is now at version 0.9.7."

    Could you please tell me what to do in order to solve this issue : do I have to disable the SSL v2 protocol feature as suggested (if yes, how?) or is the problem solved with the latest release of Open SSL 0.9.7 (in this case when will it be implemented into Astaro ?)

    Thanks for your support.
  • 0 in reply to pgervaix
    Sorry to come back to this, but I would like to know if it is possible to disable SSLV2 on Astaro, as it seems to be considered as a possible threat by Qualys (the security assessment tool we use).

    Thank you in advance.

    Pascal.  
  • 0 in reply to pgervaix
    Is there a fix for this yet? How can I upgrade to sslv3?

    We just failed a security scan for PCI compliance due to this same issue.[:(]