我们的漏洞扫描器(基于 Saint)声称大量设备和服务器容易受到 SSL/TLS 重新协商漏洞 (CVE-2009-3555) 的影响。这些服务器和设备中的大多数都已安装补丁/固件,且更新至最新版本。
由于该问题已存在 5 年多,我怀疑所报告的问题主要是误报。
为了验证,我运行了这个:
openssl s_client -connect x.x.x.x:443
<snip>
GET / HTTP/1.1
R
RENEGOTIATING
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = X.X.X.X, L = Utopia, ST = UU, C = US, O = Acme, OU = IT
verify return:1
read:errno=0
(CRLF)
所以服务器说,“重新协商”,这似乎表明它是存在漏洞,但它不会在后续的 CRLF 上提供内容,这似乎表明它是不是易受伤害的。
基于以上情况,此设备是否存在漏洞?有没有更好的测试方法?我只是需要一种可靠的方法来确认,然后再将其视为误报或尝试找到解决方案。
答案1
Jim,根据您的结果,主机存在漏洞。如果您的主机已修补,您应该收到 SSL 握手失败。您应该向供应商提出案例,并寻求解决方法或补丁。
R
RENEGOTIATING
140735200371552:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:615:
这正是您应该看到的。