abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 22:22 | Komunita

V Norimberku probíhá do neděle 28. května openSUSE Conference 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online. K dispozici jsou také videozáznamy (YouTube) již proběhnuvších přednášek. Dění lze sledovat na Twitteru.

Ladislav Hagara | Komentářů: 0
včera 11:33 | IT novinky

Red Hat kupuje společnost Codenvy stojící za stejnojmenným webovým (cloudovým) integrovaným vývojovým prostředím (WIDE) postaveném na Eclipse Che.

Ladislav Hagara | Komentářů: 0
včera 08:55 | Nová verze

V listopadu 2014 byl představen fork Debianu bez systemd pojmenovaný Devuan. Po dva a půl roce jeho vývojáři oznámili vydání první stabilní verze 1.0. Jedná se o verzi s dlouhodobou podporou (LTS) a její kódové jméno je Jessie, podle planetky s katalogovým číslem 10 464.

Ladislav Hagara | Komentářů: 8
25.5. 20:22 | Zajímavý článek

Nadace Raspberry Pi vydala již osmapadesáté číslo (pdf) stostránkového anglicky psaného časopisu MagPi věnovanému Raspberry Pi a projektům postaveným na tomto jednodeskovém počítači a druhé číslo (pdf) časopisu Hello World primárně určeného pro učitele informatiky a výpočetní techniky.

Ladislav Hagara | Komentářů: 0
25.5. 19:55 | Humor

Portál Stack Overflow informuje na svém blogu, že pomohl ukončit editor Vim už více než milionu vývojářů. V loňském roce například hledal odpověď na otázku Jak ukončit editor Vim v průměru 1 z 20 000 návštěvníků.

Ladislav Hagara | Komentářů: 10
25.5. 19:22 | Nová verze

Po pěti měsících od vydání verze 3.5.0 byla vydána nová stabilní verze 3.6.0, tj. první z nové řady 3.6, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie). Z novinek lze zmínit například podporu dvou nových 64bitových platforem little-endian POWER machines (ppc64le) a IBM z Systems (s390x) nebo nové balíčky Rust 1.17.0, Cargo 0.18.0, GHC 8.0.2 a Julia 0.5.2.

Ladislav Hagara | Komentářů: 0
24.5. 21:33 | Bezpečnostní upozornění

V Sambě byla nalezena a opravena bezpečnostní chyba CVE-2017-7494. Má-li útočník právo ukládat soubory na vzdálený server, může tam uložit připravenou sdílenou knihovnu a přinutit smbd server k jejímu načtení a tím pádem ke spuštění libovolných příkazů. Chyba je opravena v upstream verzích 4.6.4, 4.5.10 a 4.4.14. Chyba se týká všech verzí Samby od verze 3.5.0 vydané 1. března 2010.

Ladislav Hagara | Komentářů: 7
24.5. 20:44 | Nová verze

Byla vydána nová stabilní verze 4.3.0 integrovaného vývojového prostředí (IDE) Qt Creator. Z novinek lze zmínit například integraci editoru kódu do Qt Quick Designeru.

Ladislav Hagara | Komentářů: 1
24.5. 20:11 | Bezpečnostní upozornění

Společnost Check Point informuje na svém blogu o novém vektoru útoku. Pomocí titulků lze útočit na multimediální přehrávače VLC, Kodi, Popcorn Time, Stremio a pravděpodobně i další. Otevření útočníkem připraveného souboru s titulky v neaktualizovaném multimediálním přehrávači může vést ke spuštění libovolných příkazů pod právy uživatele. Ukázka na YouTube. Chyba je opravena v Kodi 17.2 nebo ve VLC 2.2.6.

Ladislav Hagara | Komentářů: 11
23.5. 15:18 | Zajímavý software

CrossOver, komerční produkt založený na Wine, je dnes (23. 5. 2017) dostupný ve slevě. Roční předplatné linuxové verze vyjde s kódem TWENTYONE na $21, resp. $1 v případě IP z chudších zemí. Firma CodeWeavers, která CrossOver vyvíjí, významně přispívá do Wine. Přidaná hodnota CrossOver spočívá v přívětivějším uživatelském rozhraní, integraci do desktopu a podpoře.

Fluttershy, yay! | Komentářů: 27
Chystáte se pořídit CPU AMD Ryzen?
 (6%)
 (32%)
 (1%)
 (8%)
 (44%)
 (9%)
Celkem 623 hlasů
 Komentářů: 62, poslední 19.5. 01:57
    Rozcestník

    Dotaz: OpenSSL - synchronizace do mobilu.

    30.10.2014 21:02 Pfemir | skóre: 2
    OpenSSL - synchronizace do mobilu.
    Přečteno: 530×
    Dobrý den,

    momentálně řeším problém, že mi nefunguje stahování pošty z mého mailserveru do mobilu, přes IMAP. Na serveru mi běží postfix+dovecot+fetchmail. Fungovalo mi to bez problému až do doby, kdy jsem updatoval baliček openssl, aspoň si myslím, že to byla příčina. Při pokusu o synchronizaci se mi nepodaří spojit se mailserverem a v logu mám:
    Oct 30 20:52:03 pfemir dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, TLS handshaking: SSL_accept() failed: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
    
    IP adresy jsem vykřížkoval.

    Ostatní klienti v PC (thunderbird, roundcubemail) fungují bez problému, jen ten mobil ne. Zkoušel jsem i instalovat starší balíček openssl, ale nepomáhá. Prosím o radu, v čem by mohl být "zakopaný pes".

    Děkuji.

    Odpovědi

    31.10.2014 06:54 Milan Uhrák | skóre: 25 | blog: milan_at_ABC
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    SSL23_GET_CLIENT_HELLO:unsupported protocol

    klient používá nepodporovanou verzi SSL, podle mně..
    31.10.2014 07:46 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Něco podobného mě taky napadlo, proto jsem zkoušel naistalovat zpátky starší balíček OpenSSL, ale nepomohlo to. Je pravda, že nevím jaký jsem tam měl, když to fungovalo. Teď tam mám OpenSSL 1.0.1j a zkoušel jsem OpenSSL 1.0.1e, což je 1.5 roku starý balíček. Můžu zkusit ještě starší. Nebo není problém přímo v tomto balíčku, ale v nějakým přídavném? Nebo není možné doinstalovat i nějaký starší protokol? Dá se vůbec někde vyčíst jaký protokol klient používá?

    Jinak v mobilu mám WP 7.8 a používám vestavného klienta.
    31.10.2014 19:12 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Typnem si že za to môže POODLE. Skús používať klienta podporujúceho TLS. Ale to len odhadujem, niesom odborník na Windows, a toto tiež nie je portál zameraný na Windows.
    31.10.2014 19:35 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Hlavně všechny verze SSL jsou děravé jako řešeto. TLS 1.0 je také zlomitelné pokud utočník má opravdu zájem, 1.1 je na tom líp, ale také ne plně bezpečné. Jediná bezpečná verze je TLS 1.2 jelikož je to z roku 2008, tak to také není "bleeding edge" a rozumně použít klienta, který to umí je správné. Blokace serverů na protokoly SSL je správná, protože SSL jen dává falešný pocit bezpečné komunikace.
    31.10.2014 19:32 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Předpokládám, že povolené protokoly bude určovat spíš Dovecot - OpenSSL by měla být jen knihovna, která ty protokoly implementuje, a uživatel (serverový program) si vybere, které bude používat. Lepší by ale samozřejmě bylo, kdyby klient podporoval TLS - v SSLv3 byla nalezena bezpečnostní díra (nazvaná POODLE). I když předpokládám, že dnes není znám způsob, jak tu chybu zneužít skrze IMAP.
    1.11.2014 00:03 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Díky za zájem, ale po pravdě, moc jste mi nepomohli. Nevím o žádném jinem klientovi na WP 7, takže musím používat ten co tam je. Je tedy nějaká šance, tu komunikaci rozchodit? Je možné v Dovecotu, popř. Postfixu povolit SSLv3, byť s nějakým bezpečnostním rizikem ?
    1.11.2014 07:34 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Ale jistě. Dovecot má konfigurační volbu ssl_protocols.
    1.11.2014 08:15 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    To jsem zkoušel, ale nepomohlo. Testoval jsem to přes:
    openssl s_client -connect mail.pfemir.cz:993 -ssl3
    Vyhodilo mi to, že "options -ssl3 unknown".

    Pokud zkouším -tls1, -tls1_1 nebo -tls1_2, tak to funguje.

    1.11.2014 08:38 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Tak to si budeš musieť nájsť poštového klienta ktorý nevyžaduje zastarané technológie z čias keď bola zem plochá. Predpokladám že v tom firmware čo dodáva Microsoft je možnosť inštalovať programy. Kdesi som čítal že by to už malo fungovať.
    1.11.2014 20:40 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Jak jsem už psal, nevím o žádném jiném klientovi na WP 7.
    2.11.2014 11:15 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Ale to je len Tvoj problém že používaš výrobky od Mikrosoftu čo vyžadujú zastarané a nebezpečné technológie a že nemáš tým pádom možnosť používať niečo čo spĺňa bezpečnostné štandardy. Byt si tiež nezamykáš, a doklady máš na viditeľnom mieste.

    Skús sa s touto otázkou obrátiť na podporu firmy MS alebo na ich fóra.
    2.11.2014 12:16 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    2.11.2014 12:31 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Přesně tak, na WP8 TLS je, ale to bych musel vyměnit telefon a já jsem s tím svým spokojen. Hlavně dnes jsou téměř všechny telefony s androidem a ten mě moc nebere. BTW, co se týká zabezpečení Windows Phone vs. Android, o tom by se taky dalo polemizovat, ale to sem nepatří.
    2.11.2014 13:00 Peter Golis | skóre: 54 | Bratislava
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    On hlavne používa komerčný produkt ktorý je mimo zamerania tohoto portálu a má obdobu správcu balíčkov v ktorom by mal byť aj plnohodnotný poštový klient. Nerozumiem prečo tu s tým spamuje a nevyužije podporu →ktorú mu poskytol dodávateľ komerčného riešenia.
    2.11.2014 15:51 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Omlouvám se a všem moc děkuji za pomoc.
    1.11.2014 09:28 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Možná tedy správce balíčku OpenSSL ve vaší distribuci iniciativně odstranil podporu SSLv3 rovnou z OpenSSL. Pak by pomohlo jedině nahradit ho verzí s podporou SSLv3 - nejspíš si zkompilovat vlastní.
    1.11.2014 20:45 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Je ale zajímavé, že v popisu opce -ssl3 je uvedena
    $ openssl s_client -connect pfemir.cz:993 -ssl3
    unknown option -ssl3
    usage: s_client args
    
     -host host     - use -connect instead
     -port port     - use -connect instead
     -connect host:port - who to connect to (default is localhost:4433)
     -verify arg   - turn on peer certificate verification
     -verify_return_error - return verification errors
     -cert arg     - certificate file to use, PEM format assumed
     -certform arg - certificate format (PEM or DER) PEM default
     -key arg      - Private key file to use, in cert file if
                     not specified but cert file is.
     -keyform arg  - key format (PEM or DER) PEM default
     -pass arg     - private key file pass phrase source
     -CApath arg   - PEM format directory of CA's
     -CAfile arg   - PEM format file of CA's
     -reconnect    - Drop and re-make the connection with the same Session-ID
     -pause        - sleep(1) after each read(2) and write(2) system call
     -prexit       - print session information even on connection failure
     -showcerts    - show all certificates in the chain
     -debug        - extra output
     -msg          - Show protocol messages
     -nbio_test    - more ssl protocol testing
     -state        - print the 'ssl' states
     -nbio         - Run with non-blocking IO
     -crlf         - convert LF from terminal into CRLF
     -quiet        - no s_client output
     -ign_eof      - ignore input eof (default when -quiet)
     -no_ign_eof   - don't ignore input eof
     -psk_identity arg - PSK identity
     -psk arg      - PSK in hex (without 0x)
     -srpuser user     - SRP authentification for 'user'
     -srppass arg      - password for 'user'
     -srp_lateuser     - SRP username into second ClientHello message
     -srp_moregroups   - Tolerate other than the known g N values.
     -srp_strength int - minimal mength in bits for N (default 1024).
     -ssl2         - just use SSLv2
     -ssl3         - just use SSLv3
     -tls1_2       - just use TLSv1.2
     -tls1_1       - just use TLSv1.1
     -tls1         - just use TLSv1
     -dtls1        - just use DTLSv1
     -fallback_scsv - send TLS_FALLBACK_SCSV
     -mtu          - set the link layer MTU
     -no_tls1_2/-no_tls1_1/-no_tls1/-no_ssl3/-no_ssl2 - turn off that protocol
     -bugs         - Switch on all SSL implementation bug workarounds
     -serverpref   - Use server's cipher preferences (only SSLv2)
     -cipher       - preferred cipher to use, use the 'openssl ciphers'
                     command to see what is available
     -starttls prot - use the STARTTLS command before starting TLS
                     for those protocols that support it, where
                     'prot' defines which one to assume.  Currently,
                     only "smtp", "pop3", "imap", "ftp" and "xmpp"
                     are supported.
     -engine id    - Initialise and use the specified engine
     -rand file:file:...
     -sess_out arg - file to write SSL session to
     -sess_in arg  - file to read SSL session from
     -servername host  - Set TLS extension servername in ClientHello
     -tlsextdebug      - hex dump of all TLS extensions received
     -status           - request certificate status from server
     -no_ticket        - disable use of RFC4507bis session tickets
     -nextprotoneg arg - enable NPN extension, considering named protocols supported (comma-separated list)
     -legacy_renegotiation - enable use of legacy renegotiation (dangerous)
     -use_srtp profiles - Offer SRTP key management with a colon-separated profile list
     -keymatexport label   - Export keying material using label
     -keymatexportlen len  - Export len bytes of keying material (default 20)
    
    A jak poznám, která verze podporuje SSLv3 ? Protože jsem zkoušel instalovat starší verzi OpenSSL (která byla vydána před 1.5 rokem) a ani s ní mi to to nejelo.
    2.11.2014 11:04 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Tak se mi to nakonec podařilo. Nainstaloval jsem OpenSSl 1.0.1e-2+deb7u13, libssl 1.0.1e-2+deb7u13, libssl-dev 1.0.1e-2+deb7u13 a libssl-dbg 1.0.1e-2+deb7u13. Tato verze ještě podporuje SSLv3.
    2.11.2014 11:29 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Uvidíme jak budeš mluvit, až ten tvůj server najde nějaký automatizovaný robot spamové sítě a z tvého učtu odejde několik miliónů spamových zpráv.
    2.11.2014 11:45 Pfemir | skóre: 2
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Nebudu mluvit nijak. Nemám povoleno lokální SMTP, ale mám ho nastaveno na svého providera. A open relay test mi prošel. BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.
    Martin Tůma avatar 2.11.2014 19:49 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.

    Self-signed certifikát úroveň zabezpečení nijak nesnižuje, spíš naopak.

    Každý má právo na můj názor!
    2.11.2014 22:54 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Vy znáte nějaký způsob, jak může být POODLE zneužito v poštovním klientovi? Ona ta chyba totiž nespočívá v tom, že by si každý mohl libovolně číst v SSLv3, ona spočívá v tom, že pokud útočník dokáže zmanipulovat klienta k tomu, aby dokázal poslat větší množství velmi podobných dotazů, dokáže pak dešifrovat blok dat před tím měněným místem. Ve webovém prohlížeči se toho dá docílit pomocí JavaScriptu a cookies, kam si můžete dát libovolnou hodnotu dlouhou právě tak, jak potřebujete. Ale jak byste k něčemu podobnému chtěl donutit poštovního klienta?
    3.11.2014 01:13 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Nemyslel jsem POODLE. Ten jsem ještě nestudoval. Myslel jsem spíše renegotiation a pokud utočník donutí server do CBC modu.
    3.11.2014 06:52 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Znáte nějaký způsob, jak to na poštovním serveru zneužít? Je nějaký důvod, proč vůbec dělat a povolovat renegotiation na SMTP serveru?
    3.11.2014 12:54 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Myslím, že strana 15 toho PDF dokumentu útok popisuje. A nejde o to "dělat a povolovat", ale spíše jestli tam je nebo není, jsem-li to schopen zjistit. Osobně to nevím, protože SSL nepoužívám již více než 4 roky nikde. Existence útoku samozřejmě neznamená, že v tazatelově konfiguraci musí být útok funkční, ale velmi to znamená, že pokud povolím nějaké verze SSL, tak velmi pečlivě bych měl zkoumat, zda-li některý z útoků je validní. Z pohledu řešení zranitelností, žádná verze SSL už nikoho nezajímá, jsou prostě novější verze protokolů, zvláště TLS 1.2 a do budoucna připravované TLS 1.3.
    3.11.2014 15:25 Filip Jirsák
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Řekl bych, že v tomto případě by pro útočníka bylo mnohem jednodušší klientovi zatajit, že server podporuje TLS. Pokud má SSL/TLS nějaká data zabezpečovat, pak musím skutečně postupovat tak, jak píšete. V tomto dotazu jde ale podle mne spíš o to, že je pořád o dost lepší SSLv3 než nešifrovaná komunikace (třeba už jenom proto, že v tom nebude čmuchat ISP, jestli náhodou neodesílá spam).
    3.11.2014 12:58 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
    Navíc CVE-2009-3555 není chyba implementace a konfigurace, ale chyba přímo protokolu.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.