Thunderbird:错误:imap.server.com:服务器不支持 RFC 5746,请参阅 CVE-2009-3555

Thunderbird:错误:imap.server.com:服务器不支持 RFC 5746,请参阅 CVE-2009-3555

我在检查邮件时收到此错误,并且无法下载邮件。我昨天刚刚更新了 Thundirbird,但它重新启动后运行良好,持续了好几个小时。我看到了这个问题:当 Thunderbird 警告“可能容易受到 CVE-2009-3555 的攻击”时,如何添加帐户?,这导致https://wiki.mozilla.org/Security:Renegotiation,并且我检查了我的配置编辑器,以下内容仍为默认值:

security.ssl.require_safe_negotiation;false
security.ssl.treat_unsafe_negotiation_as_broken;false
security.ssl.warn_missing_rfc5746;1

我找到了这些错误的原始参考资料,但它们来自 2010 年。很难相信服务器从那时起就没有更新过。http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3555https://www.rfc-editor.org/rfc/rfc5746

我尝试从命令行打开一个连接,并且运行良好:

$ openssl s_client -connect imap.spamarrest.com:993
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
 1 s:/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
 2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=Washington/L=Mercer Island/O=Spam Arrest LLC/CN=*.spamarrest.com
issuer=/C=US/O=GeoTrust Inc./CN=GeoTrust SSL CA - G2
---
No client certificate CA names sent
---
SSL handshake has read 3560 bytes and written 672 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
Compression: zlib compression
Expansion: zlib compression
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: E9038FFAE57B8F588299E197E5B5698AD51E595B6E2BFEEBA0ABA899ABDC1FCF
    Session-ID-ctx:
    Master-Key: 3CAD63BB946E9F696BD5259472E16A4C4616B41020A30C67A5CDDBC9BE063C702A0F0A7BE83AF98EB61D1F27A8B89E67
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket:
    0000 - e6 4e d4 d0 12 78 e6 ad-ce a5 b0 84 4d 59 ea 1d   .N...x......MY..
    0010 - fc a2 61 c2 36 e8 d5 a6-f2 3f da 74 b6 7a d7 c1   ..a.6....?.t.z..
    0020 - eb ac cf da 9a 21 02 70-da 85 38 d6 28 83 31 fe   .....!.p..8.(.1.
    0030 - e1 8d 14 ee 55 c7 02 5d-97 a3 3e cb d7 b8 70 de   ....U..]..>...p.
    0040 - 76 95 02 02 7c d8 5a 1a-f7 60 d8 fa ad f6 9f fb   v...|.Z..`......
    0050 - e1 30 92 ef 09 58 08 73-22 2c 1c bc 3c f0 a1 a5   .0...X.s",..<...
    0060 - a9 bd fb 09 52 a4 9d cd-6b a6 9c 5e 42 ab 7c b3   ....R...k..^B.|.
    0070 - 45 46 17 00 59 0a 3f b6-20 41 40 a3 2e 88 39 2c   EF..Y.?. [email protected],
    0080 - 4e 7d e6 09 ed 02 8f 3c-1e 9c 9c ce d9 88 cf 73   N}.....<.......s
    0090 - 0e d6 87 83 4a 86 30 13-22 16 9c 13 b8 17 fd ba   ....J.0.".......

    Compression: 1 (zlib compression)
    Start Time: 1434915194
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
* OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=CRAM-MD5 AUTH=PLAIN ACL ACL2=UNION] IMAP ready.
closed

那么我该如何解决这个问题来获取我的邮件呢?我已经通知了服务器的支持人员,但还没有收到回复。

Thunderbird 38.0.1
OpenSSL 1.0.2a 2015 年 3 月 19 日


连续更新两次都出现这种情况,是 Thunderbird 还是邮件服务器的问题?

时间戳:2015 年 8 月 19 日下午 3:54:37 错误:未捕获的异常:2147746065

时间戳:2015 年 8 月 19 日下午 3:54:37 错误:mail.spamarrest.com:服务器不支持 RFC 5746,请参阅 CVE-2009-3555

答案1

RFC 5746 描述了传输层安全性 (TLS) 重新协商指示扩展旨在防止攻击者在早期将数据注入连接,从而诱骗客户端和服务器以易受攻击的方式相互通信。中间人攻击

CVE-2009-3555是旧的(2009 年末)常见的漏洞和暴露标识符基本上可以让您详细了解哪些产品和产品版本容易受到此特定攻击,哪些不容易受到攻击。它类似于供应商可能分配给问题报告的错误报告 ID 或问题编号,但 CVE 可以(在本例中确实如此)涵盖许多不同的应用程序。

Thunderbird 正在通知您(虽然我同意,但绝对不是以一种非常用户友好的方式)您所连接的服务器不支持为减轻这种威胁而开发的标准,并且正在中止连接尝试,因为这会带来潜在的安全漏洞,从而导致隐私丢失(特别是数据机密性,在这种情况下包括身份验证凭据和电子邮件流量)。

需要的地方固定的位于您正在连接的邮件服务器上,因此您应该敦促您的服务提供商立即升级缓解 CVE-2009-3555 的软件。或者,由于该问题已经存在六年,而修复方法也已标准化五年半,我会怀疑服务提供商是否没有认真对待其他潜在的安全问题,并且个人可能会寻找替代服务提供商。

如果你不关心隐私,那么你可以尝试缓解这通过关闭 TLS/SSL在您的 Thunderbird 帐户设置中,从而使用纯文本邮件传输方式在 Thunderbird 客户端和邮件服务器之间进行传输。然而,这会使您可能容易受到各种威胁,包括普遍监控。此外,这种缓解策略首先要求您的服务提供商的邮件服务器允许纯文本会话;服务提供商越来越普遍地配置他们的系统以便只允许加密连接,特别是对于经过身份验证的工作流程。因此,这种缓解策略可能适用于您的具体情况,也可能不适用,即使适用,也不是一种推荐的方法。

请注意,忽略此问题(通过切换到纯文本电子邮件传输)不仅会影响您,还会影响可能是通过电子邮件与你联系的每个人。即使您(与当前最佳互联网工程实践相反)认为普遍监控在您的处境下并不构成威胁,但与您通信的人可能会有不同的感受。

相关内容