abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 16:24 | Nová verze

Byla vydána Mageia 5.1. Jedná se o první opravné vydání verze 5, jež vyšla v červnu loňského roku (zprávička). Uživatelům verze 5 nepřináší opravné vydání nic nového, samozřejmě pokud pravidelně aktualizují. Vydání obsahuje všechny aktualizace za posledního téměř půldruhého roku. Mageia 5.1 obsahuje LibreOffice 4.4.7, Linux 4.4.32, KDE4 4.14.5 nebo GNOME 3.14.3.

Ladislav Hagara | Komentářů: 0
dnes 13:42 | Pozvánky

V Praze probíhá konference Internet a Technologie 16.2, volné pokračování jarní konference sdružení CZ.NIC. Konferenci lze sledovat online na YouTube. K dispozici je také archiv předchozích konferencí.

Ladislav Hagara | Komentářů: 0
včera 22:44 | Komunita

Joinup informuje, že Mnichov používá open source groupware Kolab. V srpnu byl dokončen dvouletý přechod na toto řešení. V provozu je asi 60 000 poštovních schránek. Nejenom Kolabu se věnoval Georg Greve ve své přednášce Open Source: the future for the European institutions (SlideShare) na konferenci DIGITEC 2016, jež proběhla v úterý 29. listopadu v Bruselu. Videozáznam přednášek z hlavního sálu je ke zhlédnutí na Livestreamu.

Ladislav Hagara | Komentářů: 14
včera 15:30 | Zajímavý projekt

Společnost Jolla oznámila v příspěvku Case study: Sailfish Watch na svém blogu, že naportovala Sailfish OS na chytré hodinky. Využila a inspirovala se otevřeným operačním systémem pro chytré hodinky AsteroidOS. Použita je knihovna libhybris. Ukázka ovládání hodinek na YouTube.

Ladislav Hagara | Komentářů: 8
včera 14:15 | Nová verze

Byla vydána verze 7.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Jedná se o první stabilní verzi nejnovější větvě 7.1. Přehled novinek v dokumentaci. Podrobnosti v ChangeLogu. K dispozici je také příručka pro přechod z PHP 7.0.x na PHP 7.1.x.

Ladislav Hagara | Komentářů: 2
včera 12:55 | Nová verze

Google Chrome 55 byl prohlášen za stabilní. Nejnovější stabilní verze 55.0.2883.75 tohoto webového prohlížeče přináší řadu oprav a vylepšení (YouTube). Opraveno bylo také 36 bezpečnostních chyb. Mariusz Mlynski si například vydělal 22 500 dolarů za 3 nahlášené chyby (Universal XSS in Blink).

Ladislav Hagara | Komentářů: 4
včera 11:55 | Pozvánky

Máte rádi svobodný software a hardware nebo se o nich chcete něco dozvědět? Přijďte na 135. sraz spolku OpenAlt, který se bude konat ve čtvrtek 8. prosince od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Sraz bude tentokrát tématický. Bude retro! K vidění budou přístroje jako Psion 5mx nebo Palm Z22. Ze svobodného hardwaru pak Openmoko nebo čtečka WikiReader. Přijďte se i vy pochlubit svými legendami, nebo alespoň na pivo. Moderní hardware má vstup samozřejmě také povolen.

xkucf03 | Komentářů: 0
včera 00:10 | Nová verze

Byla vydána verze 3.2 svobodného systému pro detekci a prevenci průniků a monitorování bezpečnosti počítačových sítí Suricata. Z novinek lze zmínit například podporu protokolů DNP3 a CIP/ENIP, vylepšenou podporu TLS a samozřejmě také aktualizovanou dokumentaci.

Ladislav Hagara | Komentářů: 0
1.12. 21:00 | Nová verze

Byla vydána beta verze Linux Mintu 18.1 s kódovým jménem Serena. Na blogu Linux Mintu jsou hned dvě oznámení. První o vydání Linux Mintu s prostředím MATE a druhé o vydání Linux Mintu s prostředím Cinnamon. Stejným způsobem jsou rozděleny také poznámky k vydání (MATE, Cinnamon) a přehled novinek s náhledy (MATE, Cinnamon). Linux Mint 18.1 bude podporován až do roku 2021.

Ladislav Hagara | Komentářů: 0
1.12. 16:42 | Nová verze

Byl vydán Devuan Jessie 1.0 Beta 2. Jedná se o druhou beta verzi forku Debianu bez systemd představeného v listopadu 2014 (zprávička). První beta verze byla vydána v dubnu letošního roku (zprávička). Jedna z posledních přednášek věnovaných Devuanu proběhla v listopadu na konferenci FSCONS 2016 (YouTube, pdf).

Ladislav Hagara | Komentářů: 0
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 767 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: OpenSSL - synchronizace do mobilu.

30.10.2014 21:02 Pfemir | skóre: 2
OpenSSL - synchronizace do mobilu.
Přečteno: 509×
Dobrý den,

momentálně řeším problém, že mi nefunguje stahování pošty z mého mailserveru do mobilu, přes IMAP. Na serveru mi běží postfix+dovecot+fetchmail. Fungovalo mi to bez problému až do doby, kdy jsem updatoval baliček openssl, aspoň si myslím, že to byla příčina. Při pokusu o synchronizaci se mi nepodaří spojit se mailserverem a v logu mám:
Oct 30 20:52:03 pfemir dovecot: imap-login: Disconnected (no auth attempts in 0 secs): user=<>, rip=xxx.xxx.xxx.xxx, lip=xxx.xxx.xxx.xxx, TLS handshaking: SSL_accept() failed: error:14076102:SSL routines:SSL23_GET_CLIENT_HELLO:unsupported protocol
IP adresy jsem vykřížkoval.

Ostatní klienti v PC (thunderbird, roundcubemail) fungují bez problému, jen ten mobil ne. Zkoušel jsem i instalovat starší balíček openssl, ale nepomáhá. Prosím o radu, v čem by mohl být "zakopaný pes".

Děkuji.

Odpovědi

31.10.2014 06:54 Milan Uhrák | skóre: 25 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
SSL23_GET_CLIENT_HELLO:unsupported protocol

klient používá nepodporovanou verzi SSL, podle mně..
31.10.2014 07:46 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Něco podobného mě taky napadlo, proto jsem zkoušel naistalovat zpátky starší balíček OpenSSL, ale nepomohlo to. Je pravda, že nevím jaký jsem tam měl, když to fungovalo. Teď tam mám OpenSSL 1.0.1j a zkoušel jsem OpenSSL 1.0.1e, což je 1.5 roku starý balíček. Můžu zkusit ještě starší. Nebo není problém přímo v tomto balíčku, ale v nějakým přídavném? Nebo není možné doinstalovat i nějaký starší protokol? Dá se vůbec někde vyčíst jaký protokol klient používá?

Jinak v mobilu mám WP 7.8 a používám vestavného klienta.
31.10.2014 19:12 Peter Golis | skóre: 53 | Bratislava
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Typnem si že za to môže POODLE. Skús používať klienta podporujúceho TLS. Ale to len odhadujem, niesom odborník na Windows, a toto tiež nie je portál zameraný na Windows.
31.10.2014 19:35 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Hlavně všechny verze SSL jsou děravé jako řešeto. TLS 1.0 je také zlomitelné pokud utočník má opravdu zájem, 1.1 je na tom líp, ale také ne plně bezpečné. Jediná bezpečná verze je TLS 1.2 jelikož je to z roku 2008, tak to také není "bleeding edge" a rozumně použít klienta, který to umí je správné. Blokace serverů na protokoly SSL je správná, protože SSL jen dává falešný pocit bezpečné komunikace.
31.10.2014 19:32 Filip Jirsák
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Předpokládám, že povolené protokoly bude určovat spíš Dovecot - OpenSSL by měla být jen knihovna, která ty protokoly implementuje, a uživatel (serverový program) si vybere, které bude používat. Lepší by ale samozřejmě bylo, kdyby klient podporoval TLS - v SSLv3 byla nalezena bezpečnostní díra (nazvaná POODLE). I když předpokládám, že dnes není znám způsob, jak tu chybu zneužít skrze IMAP.
1.11.2014 00:03 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Díky za zájem, ale po pravdě, moc jste mi nepomohli. Nevím o žádném jinem klientovi na WP 7, takže musím používat ten co tam je. Je tedy nějaká šance, tu komunikaci rozchodit? Je možné v Dovecotu, popř. Postfixu povolit SSLv3, byť s nějakým bezpečnostním rizikem ?
1.11.2014 07:34 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Ale jistě. Dovecot má konfigurační volbu ssl_protocols.
1.11.2014 08:15 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
To jsem zkoušel, ale nepomohlo. Testoval jsem to přes:
openssl s_client -connect mail.pfemir.cz:993 -ssl3
Vyhodilo mi to, že "options -ssl3 unknown".

Pokud zkouším -tls1, -tls1_1 nebo -tls1_2, tak to funguje.

1.11.2014 08:38 Peter Golis | skóre: 53 | Bratislava
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Tak to si budeš musieť nájsť poštového klienta ktorý nevyžaduje zastarané technológie z čias keď bola zem plochá. Predpokladám že v tom firmware čo dodáva Microsoft je možnosť inštalovať programy. Kdesi som čítal že by to už malo fungovať.
1.11.2014 20:40 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Jak jsem už psal, nevím o žádném jiném klientovi na WP 7.
2.11.2014 11:15 Peter Golis | skóre: 53 | Bratislava
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Ale to je len Tvoj problém že používaš výrobky od Mikrosoftu čo vyžadujú zastarané a nebezpečné technológie a že nemáš tým pádom možnosť používať niečo čo spĺňa bezpečnostné štandardy. Byt si tiež nezamykáš, a doklady máš na viditeľnom mieste.

Skús sa s touto otázkou obrátiť na podporu firmy MS alebo na ich fóra.
2.11.2014 12:16 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
2.11.2014 12:31 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Přesně tak, na WP8 TLS je, ale to bych musel vyměnit telefon a já jsem s tím svým spokojen. Hlavně dnes jsou téměř všechny telefony s androidem a ten mě moc nebere. BTW, co se týká zabezpečení Windows Phone vs. Android, o tom by se taky dalo polemizovat, ale to sem nepatří.
2.11.2014 13:00 Peter Golis | skóre: 53 | Bratislava
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
On hlavne používa komerčný produkt ktorý je mimo zamerania tohoto portálu a má obdobu správcu balíčkov v ktorom by mal byť aj plnohodnotný poštový klient. Nerozumiem prečo tu s tým spamuje a nevyužije podporu →ktorú mu poskytol dodávateľ komerčného riešenia.
2.11.2014 15:51 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Omlouvám se a všem moc děkuji za pomoc.
1.11.2014 09:28 Filip Jirsák
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Možná tedy správce balíčku OpenSSL ve vaší distribuci iniciativně odstranil podporu SSLv3 rovnou z OpenSSL. Pak by pomohlo jedině nahradit ho verzí s podporou SSLv3 - nejspíš si zkompilovat vlastní.
1.11.2014 20:45 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Je ale zajímavé, že v popisu opce -ssl3 je uvedena
$ openssl s_client -connect pfemir.cz:993 -ssl3
unknown option -ssl3
usage: s_client args

 -host host     - use -connect instead
 -port port     - use -connect instead
 -connect host:port - who to connect to (default is localhost:4433)
 -verify arg   - turn on peer certificate verification
 -verify_return_error - return verification errors
 -cert arg     - certificate file to use, PEM format assumed
 -certform arg - certificate format (PEM or DER) PEM default
 -key arg      - Private key file to use, in cert file if
                 not specified but cert file is.
 -keyform arg  - key format (PEM or DER) PEM default
 -pass arg     - private key file pass phrase source
 -CApath arg   - PEM format directory of CA's
 -CAfile arg   - PEM format file of CA's
 -reconnect    - Drop and re-make the connection with the same Session-ID
 -pause        - sleep(1) after each read(2) and write(2) system call
 -prexit       - print session information even on connection failure
 -showcerts    - show all certificates in the chain
 -debug        - extra output
 -msg          - Show protocol messages
 -nbio_test    - more ssl protocol testing
 -state        - print the 'ssl' states
 -nbio         - Run with non-blocking IO
 -crlf         - convert LF from terminal into CRLF
 -quiet        - no s_client output
 -ign_eof      - ignore input eof (default when -quiet)
 -no_ign_eof   - don't ignore input eof
 -psk_identity arg - PSK identity
 -psk arg      - PSK in hex (without 0x)
 -srpuser user     - SRP authentification for 'user'
 -srppass arg      - password for 'user'
 -srp_lateuser     - SRP username into second ClientHello message
 -srp_moregroups   - Tolerate other than the known g N values.
 -srp_strength int - minimal mength in bits for N (default 1024).
 -ssl2         - just use SSLv2
 -ssl3         - just use SSLv3
 -tls1_2       - just use TLSv1.2
 -tls1_1       - just use TLSv1.1
 -tls1         - just use TLSv1
 -dtls1        - just use DTLSv1
 -fallback_scsv - send TLS_FALLBACK_SCSV
 -mtu          - set the link layer MTU
 -no_tls1_2/-no_tls1_1/-no_tls1/-no_ssl3/-no_ssl2 - turn off that protocol
 -bugs         - Switch on all SSL implementation bug workarounds
 -serverpref   - Use server's cipher preferences (only SSLv2)
 -cipher       - preferred cipher to use, use the 'openssl ciphers'
                 command to see what is available
 -starttls prot - use the STARTTLS command before starting TLS
                 for those protocols that support it, where
                 'prot' defines which one to assume.  Currently,
                 only "smtp", "pop3", "imap", "ftp" and "xmpp"
                 are supported.
 -engine id    - Initialise and use the specified engine
 -rand file:file:...
 -sess_out arg - file to write SSL session to
 -sess_in arg  - file to read SSL session from
 -servername host  - Set TLS extension servername in ClientHello
 -tlsextdebug      - hex dump of all TLS extensions received
 -status           - request certificate status from server
 -no_ticket        - disable use of RFC4507bis session tickets
 -nextprotoneg arg - enable NPN extension, considering named protocols supported (comma-separated list)
 -legacy_renegotiation - enable use of legacy renegotiation (dangerous)
 -use_srtp profiles - Offer SRTP key management with a colon-separated profile list
 -keymatexport label   - Export keying material using label
 -keymatexportlen len  - Export len bytes of keying material (default 20)
A jak poznám, která verze podporuje SSLv3 ? Protože jsem zkoušel instalovat starší verzi OpenSSL (která byla vydána před 1.5 rokem) a ani s ní mi to to nejelo.
2.11.2014 11:04 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Tak se mi to nakonec podařilo. Nainstaloval jsem OpenSSl 1.0.1e-2+deb7u13, libssl 1.0.1e-2+deb7u13, libssl-dev 1.0.1e-2+deb7u13 a libssl-dbg 1.0.1e-2+deb7u13. Tato verze ještě podporuje SSLv3.
2.11.2014 11:29 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Uvidíme jak budeš mluvit, až ten tvůj server najde nějaký automatizovaný robot spamové sítě a z tvého učtu odejde několik miliónů spamových zpráv.
2.11.2014 11:45 Pfemir | skóre: 2
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Nebudu mluvit nijak. Nemám povoleno lokální SMTP, ale mám ho nastaveno na svého providera. A open relay test mi prošel. BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.
Martin Tůma avatar 2.11.2014 19:49 Martin Tůma | skóre: 38 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
BTW, jako většina obyčejných userů mám certifikát podepsán sám sebou, takže o nějakém super zabezpečení tu asi nemůže být řeč.

Self-signed certifikát úroveň zabezpečení nijak nesnižuje, spíš naopak.

Každý má právo na můj názor!
2.11.2014 22:54 Filip Jirsák
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Vy znáte nějaký způsob, jak může být POODLE zneužito v poštovním klientovi? Ona ta chyba totiž nespočívá v tom, že by si každý mohl libovolně číst v SSLv3, ona spočívá v tom, že pokud útočník dokáže zmanipulovat klienta k tomu, aby dokázal poslat větší množství velmi podobných dotazů, dokáže pak dešifrovat blok dat před tím měněným místem. Ve webovém prohlížeči se toho dá docílit pomocí JavaScriptu a cookies, kam si můžete dát libovolnou hodnotu dlouhou právě tak, jak potřebujete. Ale jak byste k něčemu podobnému chtěl donutit poštovního klienta?
3.11.2014 01:13 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Nemyslel jsem POODLE. Ten jsem ještě nestudoval. Myslel jsem spíše renegotiation a pokud utočník donutí server do CBC modu.
3.11.2014 06:52 Filip Jirsák
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Znáte nějaký způsob, jak to na poštovním serveru zneužít? Je nějaký důvod, proč vůbec dělat a povolovat renegotiation na SMTP serveru?
3.11.2014 12:54 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Myslím, že strana 15 toho PDF dokumentu útok popisuje. A nejde o to "dělat a povolovat", ale spíše jestli tam je nebo není, jsem-li to schopen zjistit. Osobně to nevím, protože SSL nepoužívám již více než 4 roky nikde. Existence útoku samozřejmě neznamená, že v tazatelově konfiguraci musí být útok funkční, ale velmi to znamená, že pokud povolím nějaké verze SSL, tak velmi pečlivě bych měl zkoumat, zda-li některý z útoků je validní. Z pohledu řešení zranitelností, žádná verze SSL už nikoho nezajímá, jsou prostě novější verze protokolů, zvláště TLS 1.2 a do budoucna připravované TLS 1.3.
3.11.2014 15:25 Filip Jirsák
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Řekl bych, že v tomto případě by pro útočníka bylo mnohem jednodušší klientovi zatajit, že server podporuje TLS. Pokud má SSL/TLS nějaká data zabezpečovat, pak musím skutečně postupovat tak, jak píšete. V tomto dotazu jde ale podle mne spíš o to, že je pořád o dost lepší SSLv3 než nešifrovaná komunikace (třeba už jenom proto, že v tom nebude čmuchat ISP, jestli náhodou neodesílá spam).
3.11.2014 12:58 lertimir | skóre: 58 | blog: Par_slov
Rozbalit Rozbalit vše Re: OpenSSL - synchronizace do mobilu.
Navíc CVE-2009-3555 není chyba implementace a konfigurace, ale chyba přímo protokolu.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.