abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 17:53 | Bezpečnostní upozornění

Google na svém blogu věnovaném počítačové bezpečnost informuje o nalezení "reálného" způsobu generování kolizí hašovací funkce SHA-1. Podrobnosti a zdrojové kódy budou zveřejněny do 90 dnů. Již dnes lze ale na stránce SHAttered nalézt 2 pdf soubory, jejichž obsah se liší a SHA-1 otisk je stejný (infografika).

Ladislav Hagara | Komentářů: 2
včera 17:51 | Nová verze

Vyšla nová verzia open source software na správu a automatizáciu cloudových datacentier Danube Cloud 2.4. Danube Cloud je riešenie postavené na SmartOS, ZFS, KVM a zónach. Obsahuje vlastnosti ako integrovaný monitoring, DNS manažment, zálohy, a samozrejme rozsiahlu dokumentáciu.

dano | Komentářů: 0
včera 17:46 | Pozvánky

V Plzni se 3. až 5. března 2017 uskuteční AIMTEChackathon. Je to akce pro vývojáře, grafiky, webdesignéry i veřejnost. Akci provází zajímavé přednášky IT odborníků. Více o programu a možnosti přihlášení na stránkách akce.

cuba | Komentářů: 0
včera 01:00 | Nová verze

Známý šifrovaný komunikátor Signal od verze 3.30.0 již nevyžaduje Google Play Services. Autoři tak po letech vyslyšeli volání komunity, která dala vzniknout Google-free forku LibreSignal (dnes již neudržovaný). Oficiální binárky jsou stále distribuované pouze přes Google Play, ale lze použít neoficiální F-Droid repozitář fdroid.eutopia.cz s nezávislými buildy Signalu nebo oficiální binárku stáhnout z Google Play i bez Google účtu

… více »
xm | Komentářů: 5
22.2. 23:14 | Nová verze

Po třech týdnech od vydání první RC verze byla vydána první stabilní verze 17.01.0 linuxové distribuce pro routery a vestavěné systémy LEDE (Linux Embedded Development Environment), forku linuxové distribuce OpenWrt. Přehled novinek v poznámkách k vydání. Dotazy v diskusním fóru.

Ladislav Hagara | Komentářů: 6
22.2. 17:28 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2017-6074 v Linuxu zneužitelné k lokální eskalaci práv. Jde o chybu v podpoře DCCP (Datagram Congestion Control Protocol). Do linuxového jádra se dostala v říjnu 2005. V upstreamu byla opravena 17. února (commit). Bezpečnostní chyba byla nalezena pomocí nástroje syzkaller [Hacker News].

Ladislav Hagara | Komentářů: 11
22.2. 15:00 | Zajímavý software

Společnost Valve vydala novou beta verzi SteamVR. Z novinek lze zdůraznit oficiální podporu Linuxu. Další informace o podpoře této platformy pro vývoj virtuální reality v Linuxu v diskusním fóru. Hlášení chyb na GitHubu.

Ladislav Hagara | Komentářů: 0
22.2. 06:00 | Nová verze

Po necelém roce od vydání verze 0.67 byla vydána verze 0.68 populárního telnet a ssh klienta PuTTY. Podrobnosti v přehledu změn. Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
21.2. 21:32 | Nasazení Linuxu

Canonical představuje nejnovější verzi chytré helmy DAQRI s Ubuntu pro rozšířenou realitu. K vidění bude příští týden v Barceloně na veletrhu Mobile World Congress 2017.

Ladislav Hagara | Komentářů: 0
21.2. 21:31 | Pozvánky

Pro zájemce o hlubší znalosti fungování operačních systémů připravila MFF UK nový předmět Pokročilé operační systémy, v rámci něhož se vystřídají přednášející nejen z řad pracovníků fakulty, ale dorazí také odborníci ze společností AVAST, Oracle, Red Hat a SUSE. Tento předmět volně navazuje na kurz Operační systémy ze zimního semestru, ale pokud máte praktické zkušenosti odjinud (například z přispívání do jádra Linuxu) a chcete si

… více »
Martin Děcký | Komentářů: 6
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (13%)
 (2%)
 (71%)
 (3%)
 (10%)
Celkem 691 hlasů
 Komentářů: 66, poslední 22.2. 18:57
    Rozcestník

    Dotaz: OpenSSL - synchronizace do mobilu.

    30.10.2014 21:02 Pfemir | skóre: 2
    OpenSSL - synchronizace do mobilu.
    Přečteno: 526×
    Dobrý den,

    momentálně řeším problém, že mi nefunguje stahování pošty z mého mailserveru do mobilu, přes IMAP. Na serveru mi běží postfix+dovecot+fetchmail. Fungovalo mi to bez problému až do doby, kdy jsem updatoval baliček openssl, aspoň si myslím, že to byla příčina. Při pokusu o synchronizaci se mi nepodaří spojit se mailserverem a v logu mám:
    Oct 30 20:52:03 pfemir dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, TLS handshaking: SSL_accept() failed: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
    
    IP adresy jsem vykřížkoval.

    Ostatní klienti v PC (thunderbird, roundcubemail) fungují bez problému, jen ten mobil ne. Zkoušel jsem i instalovat starší balíček openssl, ale nepomáhá. Prosím o radu, v čem by mohl být "zakopaný pes".

    Děkuji.

    Odpovědi

    31.10.2014 06:54 Milan Uhrák | skóre: 25 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    SSL23_GET_CLIENT_HELLO:unsupported protocol

    klient používá nepodporovanou verzi SSL, podle mně..
    31.10.2014 07:46 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Něco podobného mě taky napadlo, proto jsem zkoušel naistalovat zpátky starší balíček OpenSSL, ale nepomohlo to. Je pravda, že nevím jaký jsem tam měl, když to fungovalo. Teď tam mám OpenSSL 1.0.1j a zkoušel jsem OpenSSL 1.0.1e, což je 1.5 roku starý balíček. Můžu zkusit ještě starší. Nebo není problém přímo v tomto balíčku, ale v nějakým přídavném? Nebo není možné doinstalovat i nějaký starší protokol? Dá se vůbec někde vyčíst jaký protokol klient používá?

    Jinak v mobilu mám WP 7.8 a používám vestavného klienta.
    31.10.2014 19:12 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Typnem si že za to môže POODLE. Skús používať klienta podporujúceho TLS. Ale to len odhadujem, niesom odborník na Windows, a toto tiež nie je portál zameraný na Windows.
    31.10.2014 19:35 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Hlavně všechny verze SSL jsou děravé jako řešeto. TLS 1.0 je také zlomitelné pokud utočník má opravdu zájem, 1.1 je na tom líp, ale také ne plně bezpečné. Jediná bezpečná verze je TLS 1.2 jelikož je to z roku 2008, tak to také není "bleeding edge" a rozumně použít klienta, který to umí je správné. Blokace serverů na protokoly SSL je správná, protože SSL jen dává falešný pocit bezpečné komunikace.
    31.10.2014 19:32 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Předpokládám, že povolené protokoly bude určovat spíš Dovecot - OpenSSL by měla být jen knihovna, která ty protokoly implementuje, a uživatel (serverový program) si vybere, které bude používat. Lepší by ale samozřejmě bylo, kdyby klient podporoval TLS - v SSLv3 byla nalezena bezpečnostní díra (nazvaná POODLE). I když předpokládám, že dnes není znám způsob, jak tu chybu zneužít skrze IMAP.
    1.11.2014 00:03 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Díky za zájem, ale po pravdě, moc jste mi nepomohli. Nevím o žádném jinem klientovi na WP 7, takže musím používat ten co tam je. Je tedy nějaká šance, tu komunikaci rozchodit? Je možné v Dovecotu, popř. Postfixu povolit SSLv3, byť s nějakým bezpečnostním rizikem ?
    1.11.2014 07:34 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Ale jistě. Dovecot má konfigurační volbu ssl_protocols.
    1.11.2014 08:15 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    To jsem zkoušel, ale nepomohlo. Testoval jsem to přes:
    openssl s_client -connect mail.pfemir.cz:993 -ssl3
    Vyhodilo mi to, že "options -ssl3 unknown".

    Pokud zkouším -tls1, -tls1_1 nebo -tls1_2, tak to funguje.

    1.11.2014 08:38 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Tak to si budeš musieť nájsť poštového klienta ktorý nevyžaduje zastarané technológie z čias keď bola zem plochá. Predpokladám že v tom firmware čo dodáva Microsoft je možnosť inštalovať programy. Kdesi som čítal že by to už malo fungovať.
    1.11.2014 20:40 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Jak jsem už psal, nevím o žádném jiném klientovi na WP 7.
    2.11.2014 11:15 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Ale to je len Tvoj problém že používaš výrobky od Mikrosoftu čo vyžadujú zastarané a nebezpečné technológie a že nemáš tým pádom možnosť používať niečo čo spĺňa bezpečnostné štandardy. Byt si tiež nezamykáš, a doklady máš na viditeľnom mieste.

    Skús sa s touto otázkou obrátiť na podporu firmy MS alebo na ich fóra.
    2.11.2014 12:16 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    2.11.2014 12:31 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Přesně tak, na WP8 TLS je, ale to bych musel vyměnit telefon a já jsem s tím svým spokojen. Hlavně dnes jsou téměř všechny telefony s androidem a ten mě moc nebere. BTW, co se týká zabezpečení Windows Phone vs. Android, o tom by se taky dalo polemizovat, ale to sem nepatří.
    2.11.2014 13:00 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    On hlavne používa komerčný produkt ktorý je mimo zamerania tohoto portálu a má obdobu správcu balíčkov v ktorom by mal byť aj plnohodnotný poštový klient. Nerozumiem prečo tu s tým spamuje a nevyužije podporu →ktorú mu poskytol dodávateľ komerčného riešenia.
    2.11.2014 15:51 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Omlouvám se a všem moc děkuji za pomoc.
    1.11.2014 09:28 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Možná tedy správce balíčku OpenSSL ve vaší distribuci iniciativně odstranil podporu SSLv3 rovnou z OpenSSL. Pak by pomohlo jedině nahradit ho verzí s podporou SSLv3 - nejspíš si zkompilovat vlastní.
    1.11.2014 20:45 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Je ale zajímavé, že v popisu opce -ssl3 je uvedena
    $ openssl s_client -connect pfemir.cz:993 -ssl3
    unknown option -ssl3
    usage: s_client args
    
     -host host     - use -connect instead
     -port port     - use -connect instead
     -connect host:port - who to connect to (default is localhost:4433)
     -verify arg   - turn on peer certificate verification
     -verify_return_error - return verification errors
     -cert arg     - certificate file to use, PEM format assumed
     -certform arg - certificate format (PEM or DER) PEM default
     -key arg      - Private key file to use, in cert file if
                     not specified but cert file is.
     -keyform arg  - key format (PEM or DER) PEM default
     -pass arg     - private key file pass phrase source
     -CApath arg   - PEM format directory of CA's
     -CAfile arg   - PEM format file of CA's
     -reconnect    - Drop and re-make the connection with the same Session-ID
     -pause        - sleep(1) after each read(2) and write(2) system call
     -prexit       - print session information even on connection failure
     -showcerts    - show all certificates in the chain
     -debug        - extra output
     -msg          - Show protocol messages
     -nbio_test    - more ssl protocol testing
     -state        - print the 'ssl' states
     -nbio         - Run with non-blocking IO
     -crlf         - convert LF from terminal into CRLF
     -quiet        - no s_client output
     -ign_eof      - ignore input eof (default when -quiet)
     -no_ign_eof   - don't ignore input eof
     -psk_identity arg - PSK identity
     -psk arg      - PSK in hex (without 0x)
     -srpuser user     - SRP authentification for 'user'
     -srppass arg      - password for 'user'
     -srp_lateuser     - SRP username into second ClientHello message
     -srp_moregroups   - Tolerate other than the known g N values.
     -srp_strength int - minimal mength in bits for N (default 1024).
     -ssl2         - just use SSLv2
     -ssl3         - just use SSLv3
     -tls1_2       - just use TLSv1.2
     -tls1_1       - just use TLSv1.1
     -tls1         - just use TLSv1
     -dtls1        - just use DTLSv1
     -fallback_scsv - send TLS_FALLBACK_SCSV
     -mtu          - set the link layer MTU
     -no_tls1_2/-no_tls1_1/-no_tls1/-no_ssl3/-no_ssl2 - turn off that protocol
     -bugs         - Switch on all SSL implementation bug workarounds
     -serverpref   - Use server's cipher preferences (only SSLv2)
     -cipher       - preferred cipher to use, use the 'openssl ciphers'
                     command to see what is available
     -starttls prot - use the STARTTLS command before starting TLS
                     for those protocols that support it, where
                     'prot' defines which one to assume.  Currently,
                     only "smtp", "pop3", "imap", "ftp" and "xmpp"
                     are supported.
     -engine id    - Initialise and use the specified engine
     -rand file:file:...
     -sess_out arg - file to write SSL session to
     -sess_in arg  - file to read SSL session from
     -servername host  - Set TLS extension servername in ClientHello
     -tlsextdebug      - hex dump of all TLS extensions received
     -status           - request certificate status from server
     -no_ticket        - disable use of RFC4507bis session tickets
     -nextprotoneg arg - enable NPN extension, considering named protocols supported (comma-separated list)
     -legacy_renegotiation - enable use of legacy renegotiation (dangerous)
     -use_srtp profiles - Offer SRTP key management with a colon-separated profile list
     -keymatexport label   - Export keying material using label
     -keymatexportlen len  - Export len bytes of keying material (default 20)
    
    A jak poznám, která verze podporuje SSLv3 ? Protože jsem zkoušel instalovat starší verzi OpenSSL (která byla vydána před 1.5 rokem) a ani s ní mi to to nejelo.
    2.11.2014 11:04 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Tak se mi to nakonec podařilo. Nainstaloval jsem OpenSSl 1.0.1e-2+deb7u13, libssl 1.0.1e-2+deb7u13, libssl-dev 1.0.1e-2+deb7u13 a libssl-dbg 1.0.1e-2+deb7u13. Tato verze ještě podporuje SSLv3.
    2.11.2014 11:29 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Uvidíme jak budeš mluvit, až ten tvůj server najde nějaký automatizovaný robot spamové sítě a z tvého učtu odejde několik miliónů spamových zpráv.
    2.11.2014 11:45 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Nebudu mluvit nijak. Nemám povoleno lokální SMTP, ale mám ho nastaveno na svého providera. A open relay test mi prošel. BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.
    Martin Tůma avatar 2.11.2014 19:49 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.

    Self-signed certifikát úroveň zabezpečení nijak nesnižuje, spíš naopak.

    Každý má právo na můj názor!
    2.11.2014 22:54 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Vy znáte nějaký způsob, jak může být POODLE zneužito v poštovním klientovi? Ona ta chyba totiž nespočívá v tom, že by si každý mohl libovolně číst v SSLv3, ona spočívá v tom, že pokud útočník dokáže zmanipulovat klienta k tomu, aby dokázal poslat větší množství velmi podobných dotazů, dokáže pak dešifrovat blok dat před tím měněným místem. Ve webovém prohlížeči se toho dá docílit pomocí JavaScriptu a cookies, kam si můžete dát libovolnou hodnotu dlouhou právě tak, jak potřebujete. Ale jak byste k něčemu podobnému chtěl donutit poštovního klienta?
    3.11.2014 01:13 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Nemyslel jsem POODLE. Ten jsem ještě nestudoval. Myslel jsem spíše renegotiation a pokud utočník donutí server do CBC modu.
    3.11.2014 06:52 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Znáte nějaký způsob, jak to na poštovním serveru zneužít? Je nějaký důvod, proč vůbec dělat a povolovat renegotiation na SMTP serveru?
    3.11.2014 12:54 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Myslím, že strana 15 toho PDF dokumentu útok popisuje. A nejde o to "dělat a povolovat", ale spíše jestli tam je nebo není, jsem-li to schopen zjistit. Osobně to nevím, protože SSL nepoužívám již více než 4 roky nikde. Existence útoku samozřejmě neznamená, že v tazatelově konfiguraci musí být útok funkční, ale velmi to znamená, že pokud povolím nějaké verze SSL, tak velmi pečlivě bych měl zkoumat, zda-li některý z útoků je validní. Z pohledu řešení zranitelností, žádná verze SSL už nikoho nezajímá, jsou prostě novější verze protokolů, zvláště TLS 1.2 a do budoucna připravované TLS 1.3.
    3.11.2014 15:25 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Řekl bych, že v tomto případě by pro útočníka bylo mnohem jednodušší klientovi zatajit, že server podporuje TLS. Pokud má SSL/TLS nějaká data zabezpečovat, pak musím skutečně postupovat tak, jak píšete. V tomto dotazu jde ale podle mne spíš o to, že je pořád o dost lepší SSLv3 než nešifrovaná komunikace (třeba už jenom proto, že v tom nebude čmuchat ISP, jestli náhodou neodesílá spam).
    3.11.2014 12:58 lertimir | skóre: 59 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Navíc CVE-2009-3555 není chyba implementace a konfigurace, ale chyba přímo protokolu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.